Questa sezione illustra come configurare Workspace ONE Access come provider di identità (IdP) per VMware Cloud Web Security. Per prima cosa tratteremo la configurazione di Workspace ONE e quindi la configurazione di VMware Cloud Orchestrator.
Prerequisiti
Per configurare Workspace ONE come provider di identità con
VMware Cloud Web Security, è necessario quanto segue:
- Un account Workspace ONE.
- L'azienda di un cliente in un VMware Cloud Orchestrator di produzione con Cloud Web Security attivato. Orchestrator deve essere alla versione 4.5.0 o successiva.
Configurazione di Workspace ONE Access
- Creare gli utenti e i gruppi. Associare gli utenti al gruppo.
- Passare a .
- Fare clic su Nuovo (New) per aggiungere una Nuova applicazione (New Application).
- Denominare l'applicazione VMware CWS e fare clic su Avanti (Next).
- Nella sezione Configurazione (Configuration):
- Immettere i seguenti dettagli per Single Sign-On:
- Tipo di autenticazione (Authentication Type): SAML 2.0
- Configurazione (Configuration): Manuale (Manual)
- URL Single Sign-on (Single Sign-On URL): https://safe-cws-sase.vmware.com/safeview-auth-server/saml
- URL destinatario (Recipient URL): https://safe-cws-sase.vmware.com/safeview-auth-server/saml
- ID applicazione (Application ID): https://safe-cws-sase.vmware.com/safeview-auth-server/saml/metadata
- Formato nome utente (Username Format): Indirizzo e-mail ([email protected]) (Email Address ([email protected]))
- Valore nome utente (Username Value): ${user.email}
- Fare clic su Proprietà avanzate (Advanced Properties) e aggiungere una Mappatura attributi personalizzati (Custom Attribute Mapping) come indicato di seguito. Questa configurazione consente di inviare l'attributo dei gruppi nell'asserzione SAML.
Nota: Il Nome (Name) deve essere "groups" e il Valore (Value) deve essere ${groupNames}.
- Fare clic su Avanti (Next).
- Immettere i seguenti dettagli per Single Sign-On:
- Nella pagina Criteri di accesso (Access Policies) viene selezionato automaticamente "default_access_policy_set".
- Fare clic su Avanti (Next) e quindi su Salva e assegna (Save and Assign).
- In Impostazioni (Settings). >, fare clic su
- Nella finestra Impostazioni (Settings) passare alla sezione Metadati SAML (SAML Metadata).
- Fare clic su Metadati del fornitore di identità (IdP) (Identity Provider (IdP) metadata). Questa azione apre una nuova finestra nel browser con dati XML. Copiare "entityID" e l'URL di "Posizione (Location)" in un Blocco note.
- entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
- Posizione (Location): https://<ws1access_server>/SAAS/auth/federation/sso
dove <ws1access-server> è il server Workspace ONE Access nell'ambiente.
- Tornare alla finestra Setting (Impostazioni) e quindi copiare il contenuto di Certificato di firma (Signing Certificate) nel Blocco note.
- Assegnare gruppi di utenti all'applicazione Web VMware CWS.
Configurazione VMware Cloud Orchestrator
- Accedere alla nuova interfaccia utente Orchestrator.
- Passare a Impostazioni provider di identità (Identity Provider Settings). . Viene visualizzata la pagina
- Modificare l'impostazione di Single Sign-On su Abilitato (Enabled).
- Configurare quanto segue:
- Per Il server SAML può accedere a Internet? (SAML Server Internet Accessible) selezionare Sì (Yes)
- Per SAML Provider (Provider SAML), selezionare Workspace ONE Access
- Per Endpoint SAML 2.0 (SAML 2.0 Endpoint), copiare l'URL Posizione (Location) dal Blocco note. Ad esempio, Posizione (Location): https://<ws1access_server>/SAAS/auth/federation/sso
- Per Identificatore servizio (emittente) (Service Identifier (Issuer)), copiare l'URL entityID dal Blocco note. Ad esempio, entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
- Per il certificato X.509, fare clic su Aggiungi certificato (Add Certificate), copiare il certificato da Blocco note e incollarlo qui.
- Fare clic su Salva modifiche (Save Changes).
- Aggiungere una regola di bypass SSL per il dominio Workspace ONE Access.
- Passare a .
- Selezionare un criterio esistente per aggiungere una regola di bypass SSL e fare clic sul pulsante Modifica (Edit).
- Fare clic sulla scheda Ispezione SSL (SSL Inspection), quindi fare clic su + Aggiungi regola (+ Add Rule). Viene visualizzata la schermata Crea eccezione SSL (Create SSL Exception).
- Nella schermata Crea eccezione SSL (Create SSL Exception), configurare quanto segue e fare clic su Avanti (Next):
- Per Ignora ispezione SSL in base a (Skip SSL Inspection based on), selezionare Destinazione (Destination).
- Per Tipo di destinazione (Destination Type), selezionare Host/Dominio di destinazione (Destination Host/Domain).
- Per Dominio (Domain), immettere vidmpreview.com.
- Nella schermata Nome e tag (Name and Tags) immettere un nome univoco per la regola e aggiungere un motivo, se necessario.
- Fare clic su Fine (Finish) e quindi su Pubblica (Publish) per il criterio di protezione applicabile per applicare la nuova regola.
Importante: Il dominio vidmpreview.com fa parte della coppia di domini Workspace ONE come indicato nel documento: Domini e CIDR in cui è consigliata una regola di bypass di ispezione SSL. Se è già stata configurata una regola di bypass SSL che include entrambi i domini di Workspace ONE, è possibile ignorare questo passaggio. Se si tenta di configurare la regola di cui sopra mentre il set di domini Workspace ONE è già incluso in una regola di bypass SSL esistente, la nuova regola genera un errore perché è consentita o necessaria una sola istanza di dominio di bypass SSL per ogni cliente aziendale.Per ulteriori informazioni sui domini in cui devono essere configurate regole di bypass SSL, consultare Domini e CIDR in cui è consigliata una regola di bypass di ispezione SSL.
Verifica della configurazione
La verifica della configurazione può essere eseguita utilizzando una o più regole dei criteri Web basate sul gruppo in
Cloud Web Security. Ad esempio, utilizzando Filtro URL (URL Filtering) e bloccando Twitter.com.
Aggiungere i gruppi da considerare per la regola Filtro URL (URL Filter).
Nota: I gruppi devono essere specificati manualmente. Non è disponibile alcuna funzionalità di "ricerca" per selezionare quali gruppi. Aggiungere il nome del gruppo durante la configurazione in Workspace ONE Access.
Controllare i Registri Web (Web Logs) in