Questa sezione illustra come configurare Workspace ONE Access come provider di identità (IdP) per VMware Cloud Web Security. Per prima cosa tratteremo la configurazione di Workspace ONE e quindi la configurazione di VMware Cloud Orchestrator.
Prerequisiti
Per configurare Workspace ONE come provider di identità con
VMware Cloud Web Security, è necessario quanto segue:
Un account Workspace ONE.
L'azienda di un cliente in un VMware Cloud Orchestrator di produzione con Cloud Web Security attivato. Orchestrator deve essere alla versione 4.5.0 o successiva.
Configurazione di Workspace ONE Access
Creare gli utenti e i gruppi. Associare gli utenti al gruppo.
Passare a Catalogo (Catalog) > App Web (Web Apps).
Fare clic su Nuovo (New) per aggiungere una Nuova applicazione (New Application).
Denominare l'applicazione VMware CWS e fare clic su Avanti (Next).
Nella sezione Configurazione (Configuration):
Immettere i seguenti dettagli per Single Sign-On:
Tipo di autenticazione (Authentication Type): SAML 2.0
Valore nome utente (Username Value): ${user.email}
Fare clic su Proprietà avanzate (Advanced Properties) e aggiungere una Mappatura attributi personalizzati (Custom Attribute Mapping) come indicato di seguito. Questa configurazione consente di inviare l'attributo dei gruppi nell'asserzione SAML.
Nota: Il Nome (Name) deve essere "groups" e il Valore (Value) deve essere ${groupNames}.
Fare clic su Avanti (Next).
Nella pagina Criteri di accesso (Access Policies) viene selezionato automaticamente "default_access_policy_set".
Fare clic su Avanti (Next) e quindi su Salva e assegna (Save and Assign).
In Catalogo (Catalog) > App Web (Web Apps) >, fare clic su Impostazioni (Settings).
Nella finestra Impostazioni (Settings) passare alla sezione Metadati SAML (SAML Metadata).
Fare clic su Metadati del fornitore di identità (IdP) (Identity Provider (IdP) metadata). Questa azione apre una nuova finestra nel browser con dati XML. Copiare "entityID" e l'URL di "Posizione (Location)" in un Blocco note.
Posizione (Location): https://<ws1access_server>/SAAS/auth/federation/sso
dove <ws1access-server> è il server Workspace ONE Access nell'ambiente.
Tornare alla finestra Setting (Impostazioni) e quindi copiare il contenuto di Certificato di firma (Signing Certificate) nel Blocco note.
Assegnare gruppi di utenti all'applicazione Web VMware CWS.
Configurazione VMware Cloud Orchestrator
Accedere alla nuova interfaccia utente Orchestrator.
Passare a Cloud Web Security > Configurazione (Configure) > Impostazioni aziendali (Enterprise Settings) > Provider di identità (Identity Provider). Viene visualizzata la pagina Impostazioni provider di identità (Identity Provider Settings).
Modificare l'impostazione di Single Sign-On su Abilitato (Enabled).
Configurare quanto segue:
Per Il server SAML può accedere a Internet? (SAML Server Internet Accessible) selezionare Sì (Yes)
Per SAML Provider (Provider SAML), selezionare Workspace ONE Access
Per Endpoint SAML 2.0 (SAML 2.0 Endpoint), copiare l'URL Posizione (Location) dal Blocco note. Ad esempio, Posizione (Location): https://<ws1access_server>/SAAS/auth/federation/sso
Per Identificatore servizio (emittente) (Service Identifier (Issuer)), copiare l'URL entityID dal Blocco note. Ad esempio, entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
Per il certificato X.509, fare clic su Aggiungi certificato (Add Certificate), copiare il certificato da Blocco note e incollarlo qui.
Fare clic su Salva modifiche (Save Changes).
Aggiungere una regola di bypass SSL per il dominio Workspace ONE Access.
Passare a Cloud Web Security > Configurazione (Configure) > Criteri di protezione (Security Policies).
Selezionare un criterio esistente per aggiungere una regola di bypass SSL e fare clic sul pulsante Modifica (Edit).
Fare clic sulla scheda Ispezione SSL (SSL Inspection), quindi fare clic su + Aggiungi regola (+ Add Rule). Viene visualizzata la schermata Crea eccezione SSL (Create SSL Exception).
Nella schermata Crea eccezione SSL (Create SSL Exception), configurare quanto segue e fare clic su Avanti (Next):
Per Ignora ispezione SSL in base a (Skip SSL Inspection based on), selezionare Destinazione (Destination).
Per Tipo di destinazione (Destination Type), selezionare Host/Dominio di destinazione (Destination Host/Domain).
Per Dominio (Domain), immettere vidmpreview.com.
Nella schermata Nome e tag (Name and Tags) immettere un nome univoco per la regola e aggiungere un motivo, se necessario.
Fare clic su Fine (Finish) e quindi su Pubblica (Publish) per il criterio di protezione applicabile per applicare la nuova regola.
Importante: Il dominio
vidmpreview.com fa parte della coppia di domini
Workspace ONE come indicato nel documento:
Domini e CIDR in cui è consigliata una regola di bypass di ispezione SSL. Se è già stata configurata una regola di bypass SSL che include entrambi i domini di
Workspace ONE, è possibile ignorare questo passaggio. Se si tenta di configurare la regola di cui sopra mentre il set di domini
Workspace ONE è già incluso in una regola di bypass SSL esistente, la nuova regola genera un errore perché è consentita o necessaria una sola istanza di dominio di bypass SSL per ogni cliente aziendale.
La verifica della configurazione può essere eseguita utilizzando una o più regole dei criteri Web basate sul gruppo in
Cloud Web Security. Ad esempio, utilizzando Filtro URL (URL Filtering) e bloccando Twitter.com.
Aggiungere i gruppi da considerare per la regola Filtro URL (URL Filter).
Nota: I gruppi devono essere specificati manualmente. Non è disponibile alcuna funzionalità di "ricerca" per selezionare quali gruppi. Aggiungere il nome del gruppo durante la configurazione in Workspace ONE Access.
Controllare i Registri Web (Web Logs) in Cloud Web Security > Monitoraggio (Monitor) > Registri Web (Web Logs)