Workspace ONE Access Connector 22.09 è in grado di eseguire operazioni crittografiche utilizzando algoritmi conformi a FIPS (Federal Information Processing Standard) 140- 2. È possibile abilitare l'utilizzo di questi algoritmi eseguendo una nuova installazione di Workspace ONE Access Connector 22.09 in modalità FIPS o aggiornando un connettore 22.05 installato in modalità FIPS alla versione 22.09.

Lo standard FIPS (Federal Information Processing Standard) 140-2 è uno standard del governo degli Stati Uniti e del Canada che specifica i requisiti di sicurezza per i moduli crittografici. Vedere la pagina delle informazioni relative agli standard FIPS (Federal Information Processing Standard) di VMware.

Workspace ONE Access Connector non supporta l'aggiornamento o la migrazione da un'installazione non FIPS a un'installazione FIPS o da un'installazione FIPS a un'installazione non FIPS. Tutte le versioni del connettore precedenti alla 22.05 erano installazioni non FIPS.

Importante:
  • Workspace ONE Access Connector in modalità FIPS è supportato solo con i tenant di Workspace ONE Access FedRAMP. Gli altri tipi di tenant e le installazioni locali di Workspace ONE Access non supportano il connettore in modalità FIPS.
  • Il servizio App virtuale non supporta la modalità FIPS. Workspace ONE Access Connector con modalità FIPS abilitata non supporta l'integrazione con Citrix, Horizon, Horizon Cloud Service on Microsoft Azure con Single-Pod Broker o Horizon Cloud Service on IBM Cloud e ThinApp. Un Workspace ONE Access Connector con la modalità FIPS abilitata supporta l'integrazione di app virtuali in esecuzione su Horizon Cloud Service on Microsoft Azure con Universal Broker.

Installazione di Workspace ONE Access Connector in modalità FIPS

Per attivare la modalità FIPS per Workspace ONE Access Connector, selezionare l'opzione Abilita FIPS durante l'installazione.


Nella pagina Specifica file di configurazione del programma di installazione del connettore è selezionata l'opzione Abilita FIPS.
Importante:
  • Non è possibile modificare la modalità dopo l'installazione dalla modalità FIPS alla modalità non FIPS o dalla modalità non FIPS alla modalità FIPS. Pertanto, esaminare attentamente i requisiti e i prerequisiti e decidere se si desidera abilitare FIPS o meno prima di iniziare l'installazione.
  • Si tenga inoltre presente che un'installazione FIPS può essere aggiornata solo a un'installazione FIPS e che un'installazione non FIPS può essere aggiornata solo a un'installazione non FIPS.

Requisiti e prerequisiti per la modalità FIPS

Per il connettore in modalità FIPS, si applicano i requisiti e i prerequisiti seguenti.

  • Assicurarsi di installare tutte le istanze del connettore in modalità FIPS. Tutte le istanze del connettore associate a un tenant di Workspace ONE Access devono essere eseguite in modalità FIPS oppure devono tutte essere eseguite in modalità non FIPS, indipendentemente dai servizi aziendali installati. Non distribuire alcune istanze del connettore in modalità FIPS e altre in modalità non FIPS.
  • Per le directory di tipo Active Directory su Autenticazione integrata di Windows (IWA):
    • Per creare una directory di tipo Active Directory su IWA in Workspace ONE Access, la password dell'utente Nome distinto di binding deve contenere almeno 14 caratteri.
    • La lunghezza minima di 14 caratteri per le password si applica anche a tutti gli utenti sincronizzati nella directory IWA.
    • Se si utilizza l'attributo sAMAccountName, l'attributo sAMAccountName dell'utente più il nome di dominio devono contenere almeno 16 caratteri.
  • Per la funzionalità Cambia password per Active Directory:
    • La funzionalità Cambia password per Active Directory richiede una lunghezza minima di 14 caratteri per le password degli utenti finali.

      Le password esistenti devono soddisfare questo requisito. Gli utenti non potranno modificare la propria password dall'app Intelligent Hub o dal portale se la password esistente contiene meno di 14 caratteri.

      Anche tutte le nuove password devono soddisfare questo requisito. Il valore minimo di 14 caratteri non viene imposto quando gli utenti creano una nuova password dal portale o dall'app Intelligent Hub. Tuttavia, se la nuova password non contiene almeno 14 caratteri, l'utente non potrà cambiarla di nuovo. Se l'utente appartiene a una directory di tipo Active Directory su Autenticazione integrata di Windows, non potrà inoltre accedere al portale o all'app Intelligent Hub con la nuova password.

    • Se si utilizza l'attributo sAMAccountName, l'attributo sAMAccountName dell'utente più il nome di dominio devono contenere almeno 16 caratteri.
  • Se si configura la connessione ad Active Directory con l'opzione STARTTLS obbligatorio per tutte le connessioni o LDAPS obbligatorio per tutte le connessioni selezionata, i controller di dominio devono disporre di certificati pubblici validi firmati da un'autorità di certificazione.

È consigliabile implementare questi prerequisiti prima di installare Workspace ONE Access Connector in modalità FIPS.