Supporto per l'autenticazione passkey

Siamo lieti di annunciare la disponibilità di passkey per l'autenticazione in Workspace ONE Access.

Le passkey sono credenziali FIDO individuabili basate sullo standard WebAuthn. Le passkey consentono l'autenticazione senza password e offrono agli utenti un'esperienza di accesso più rapida, semplice e sicura su tutti i loro dispositivi. Le passkey sono sempre più supportate nel settore e offrono una valida alternativa resistente agli attacchi phishing alle password.

Le passkey semplificano l'autenticazione FIDO2 sincronizzando le informazioni di registrazione FIDO tra i dispositivi dell'utente. Il supporto delle passkey è disponibile su tutti i dispositivi, tra cui iOS, Mac, Windows, Android e tutti i principali browser. Gli amministratori possono continuare a configurare FIDO2 come metodo di autenticazione in Workspace ONE Access e possono sfruttare i vantaggi offerti dalle passkey.

Le passkey utilizzano la crittografia a chiave pubblica e si compongono di due parti: una chiave pubblica sul server a cui l'utente sta accedendo e una chiave privata corrispondente sul dispositivo in uso. La chiave pubblica viene sincronizzata tra i dispositivi che condividono un accesso comune, ad esempio i profili del browser Chrome o l'ID Apple. Quando gli utenti eseguono l'accesso, Workspace ONE Access avvia un flusso di autenticazione Web che attiva l'autenticazione biometrica del dispositivo o il PIN per verificare l'identità dell'utente e verifica se la chiave pubblica dell'utente corrisponde alla chiave privata. L'esperienza utente è coerente con lo sblocco tipico del dispositivo con cui l'utente ha familiarità. L'utente sarà connesso all'account, mentre la chiave privata e i dati biometrici rimarranno sul dispositivo in modo sicuro e non verranno mai condivisi.

Supporto per i client pubblici PKCE e OAuth 2.0

PKCE (Proof Key for Code Exchange) è un'estensione del flusso di codice di autorizzazione OAuth 2.0 che consente di proteggere i token OAuth da attacchi CSRF e code injection. I client pubblici OAuth 2.0 che utilizzano la concessione del codice di autorizzazione sono esposti agli attacchi di intercettazione del codice di autorizzazione. Un percorso di comunicazione non protetto da TLS è esposto a questo attacco e un utente malintenzionato può accedere al codice di autorizzazione e utilizzarlo per ottenere il token di accesso.

L'estensione PKCE utilizza una chiave crittografica casuale creata in modo dinamico per garantire la proof-of-possession da parte del client. Workspace ONE Access supporta l'abilitazione di PKCE per i client pubblici OAuth 2.0 e i clienti che partecipano al flusso del codice di autorizzazione. Oltre al supporto di PKCE, Workspace ONE Access supporta ora la creazione di client pubblici OAuth 2.0. I client pubblici sono utili per le applicazioni in esecuzione in un browser o su un dispositivo mobile che non possono mantenere al sicuro il segreto client registrato.

PKCE è abilitato per impostazione predefinita ed è obbligatorio per tutti i client pubblici creati in Workspace ONE Access.

Scelta dell'utente per l'autenticazione

Siamo lieti di annunciare la disponibilità della funzionalità Scelta dell'utente per l'autenticazione in Workspace ONE Access. Grazie a questa nuova funzionalità, gli utenti hanno la possibilità di scegliere tra una serie di opzioni di autenticazione che vengono loro presentate per il secondo metodo di autenticazione.

Questa funzionalità è particolarmente utile negli scenari in cui gli utenti potrebbero non avere accesso al secondo metodo di autenticazione, ad esempio uno smartphone per la ricezione delle notifiche push. In questi casi, gli utenti possono facilmente optare per un metodo alternativo tra le scelte presentate per completare correttamente la sequenza di accesso.

Gli amministratori configurano i criteri per controllare la disponibilità di varie opzioni di autenticazione per requisiti di autenticazione specifici. Inoltre, i parametri di accesso condizionale come l'intervallo di rete, le specifiche del dispositivo, lo stato di gestione del dispositivo o i gruppi di utenti possono essere configurati per proteggere e personalizzare l'esperienza di autenticazione per gli utenti finali.

Questa funzionalità è disponibile solo nell'ambiente SaaS di Workspace ONE Access. 

Supporto per Duo v4 SDK con Duo Universal Prompt

Workspace ONE Access ora supporta Duo v4 SDK. Duo v4 supporta il nuovo Duo Universal Prompt che offre un'esperienza di accesso semplificata tramite Duo per le applicazioni basate sul Web offrendo un'interfaccia visiva riprogettata con miglioramenti della sicurezza e dell'usabilità. Dopo l'implementazione di questo supporto, gli utenti di Workspace ONE Access verranno migrati automaticamente da Duo Prompt tradizionale a Duo Universal Prompt. Per abilitare questa modifica, non è necessaria alcuna azione da parte dell'amministratore.

Supporto per l'avvio di Horizon Client e delle app tramite collegamenti

Workspace ONE Access ora consente di riavviare le app e i desktop virtuali pubblicati da Horizon tramite collegamenti utilizzando gli URL di avvio. Prima di questa versione, quando avviavano un collegamento che puntava a Horizon Client oppure a un'app, gli utenti venivano indirizzati a una schermata vuota che bloccava l'avvio del client o dell'app. In seguito a questo aggiornamento, all'utente vengono fornite informazioni sull'app e un'opzione di avvio. 

Workspace ONE Access Connector 23.09

Workspace ONE Access Connector 23.09 è compatibile con Workspace ONE Access Cloud, Workspace ONE Access 23.09 locale e Workspace ONE Access per FedRAMP.

Di seguito è disponibile un elenco dei problemi risolti di Connector.

• HW-180874: L'impostazione del client di avvio predefinito per le raccolte di app virtuali di Horizon viene ignorata

• HW-170798: Non è possibile sincronizzare le raccolte di app virtuali di Horizon Enterprise quando si utilizza una connessione tramite un proxy

• HW-174051: L'aggiornamento di una raccolta di app virtuali causa la reimpostazione dell'intervallo di rete

• HW-172671: L'avvio di Citrix App non riesce in Firefox

• HW-171435: L'avvio di Citrix App non riesce quando il primo connettore nella raccolta di app virtuali è inattivo

• HW-170576: Non è possibile sincronizzare le raccolte di app virtuali quando si utilizza una connessione tramite un proxy

• HW-174269: Workspace ONE Access Connector 22.09.1 non viene installato correttamente quando il nome del dominio include un carattere '_'

• HW-181989: Il salvataggio o la sincronizzazione di una raccolta di app virtuali di Horizon quando un server di Horizon è inattivo causa la rimozione dei metadati esistenti

• HW-170576: Quando è configurato un proxy, il servizio App virtuale non è in grado di recuperare i metadati da una configurazione Single-Pod Broker di Horizon Cloud Service

Annuncio della disponibilità generale dell'autenticazione SSO mobile per dispositivi Apple

Siamo lieti di annunciare la disponibilità generale dell'autenticazione SSO mobile per dispositivi Apple, la nuova generazione della funzionalità SSO mobile in Workspace ONE Access.

Come parte della specifica SDK e MDM di iOS 13, Apple ha introdotto una nuova estensione SSO multipiattaforma che offre un approccio SSO nativo utilizzando protocolli di federazione standard. L'SSO mobile per dispositivi Apple in Workspace ONE Access sfrutta l'SDK di questa estensione SSO nativa in Apple.

Oltre a fornire SSO semplificato su dispositivi iOS e iPadOS, SSO mobile per Apple in Workspace ONE Access offre un'autenticazione biometrica configurabile che consente di utilizzare autenticatori biometrici integrati della piattaforma come TouchID, FaceID o Passcode per ulteriori autenticazioni prima di accedere alle applicazioni.

Il metodo di autenticazione SSO mobile per Apple offre la possibilità di limitare il Single Sign-On alle app selezionate. La soluzione utilizza l'autenticazione basata su certificato per Workspace ONE Access e supporta i casi d'uso di  check-in/check-out dei dispositivi iOS condivisi di Workspace ONE.

Nota: è necessario che Workspace ONE Intelligent Hub sia installato nei dispositivi che partecipano all'SSO.

L'SSO mobile per Apple è una soluzione sostitutiva dell'SSO mobile per iOS disponibile oggi con Workspace ONE Access. Entrambe le soluzioni possono tuttavia coesistere come parte della configurazione della migrazione. È consigliabile eseguire una migrazione graduale da SSO mobile per iOS a SSO mobile per Apple. I passaggi relativi alla migrazione sono disponibili qui.

Questa funzionalità è disponibile solo nell'ambiente cloud Workspace ONE Access.

Supporto per i dispositivi Windows 11 nelle regole dei criteri di Workspace ONE Access

Workspace ONE Access riconosce ora i dispositivi Windows 11 per la registrazione e l'accesso condizionale. Prima di questo supporto, i criteri di accesso con tipo di dispositivo impostato su Windows 10 non venivano applicati ai dispositivi Windows 11. Con questo aggiornamento, per i dispositivi Windows 10 e Windows 11 verranno utilizzate le regole del tipo di dispositivo Windows 10 +. Questa funzionalità è supportata su tutti i dispositivi Windows 11, inclusi desktop e dispositivi mobili.

Workspace ONE Access ora supporta FIDO2 come autenticatore primario

In Workspace ONE Access è ora possibile configurare gli autenticatori FIDO2 come autenticatori primari. In precedenza, il supporto per l'autenticazione FIDO2 si limitava all'autenticazione step-up. Con questa versione, gli utenti finali possono eseguire l'autenticazione in Workspace ONE Access utilizzando un autenticatore FIDO2. Gli utenti finali possono anche registrare autonomamente un autenticatore FIDO2. Sono supportati sia gli autenticatori di piattaforma (dispositivi mobili, laptop e così via, che supportano FIDO2) sia gli autenticatori di terze parti (Yubikey, dispositivi sicuri USB e così via).

Interruzione dei VMware Identity Manager Connector non supportati

In questa versione di Workspace ONE Access Cloud, tutte le funzionalità dei connettori non supportati verranno interrotte in qualsiasi ambiente. Per continuare a utilizzare tutte le funzionalità, è necessario usare una versione supportata di Workspace ONE Access Connector.

Negli ambienti in cui sono in esecuzione connettori non supportati, questa modifica comporterà l'interruzione delle funzionalità seguenti.

1. Integrazione della directory di Active Directory e degli altri server LDAP supportati

2. Modifica della password per gli utenti di Active Directory

3. Autenticazione degli utenti mediante metodi di autenticazione basati su connettore

4. Integrazione delle raccolte di app virtuali, incluso l'avvio 

Ulteriori informazioni sono disponibili in questo articolo della Knowledge Base di VMware.

Interfaccia per la creazione dei report di Workspace ONE Access rinnovata nella console di Workspace ONE Access

L'aspetto dell'interfaccia per la creazione dei report di Workspace ONE Access è stato rinnovato per gli utenti amministratori. Questo nuovo aspetto è aggiornato e semplifica l'esplorazione dei report seguenti.

• Attività recente

• Uso delle risorse

• Permessi risorsa

• Attività risorsa

• Appartenenza a gruppi

• Utenti

• Utilizzo dispositivi

• Stato provisioning

• Auditing eventi

Le azioni possono essere riconfigurate facilmente nella nuova pagina di configurazione dei ruoli della console di Workspace ONE Access

La nuova navigazione per la configurazione dei ruoli consente di aggiungere, riconfigurare e rimuovere tutte le azioni per un servizio. I ruoli possono essere personalizzati in qualsiasi modo con azioni specifiche per ogni servizio. Gli utenti che possono gestire i ruoli di amministratore potranno anche eliminare una qualsiasi o tutte le azioni configurate per un servizio.

Ridotte le funzionalità dei VMware Identity Manager Connector non supportati

Nella versione di marzo di Workspace ONE Access Cloud, in qualsiasi ambiente che utilizza connettori non supportati non è più possibile creare, modificare o eliminare directory. Per continuare a utilizzare tutte le funzionalità, è necessario usare una versione supportata di Workspace ONE Access Connector. È consigliabile che ogni cliente esegua la migrazione alla versione più recente di Connector non appena possibile.

La possibilità di sincronizzare le directory preesistenti continuerà a funzionare per le sincronizzazioni pianificate e su richiesta. Ulteriori informazioni sono disponibili all'indirizzo https://kb.vmware.com/s/article/90808.

Pagine di navigazione di Workspace ONE Access aggiornate

Nella console di Workspace ONE Access sono state aggiunte nuove pagine di navigazione aggiornate. Le pagine seguenti hanno un aspetto nuovo.

• Pagina Integrazione UEM

• Pagina Directory

• Pagina Provider di identità

Le pagine Auto Discovery e Condizioni d'uso sono state rimosse perché sono correlate a Workspace ONE App che ha raggiunto l'EOL. Le informazioni sull'EOL di Workspace ONE App sono disponibili nelle note di rilascio di aprile 2022.

Nuova opzione per mostrare la password nella schermata di accesso

Nella schermata di accesso è stato inserito un nuovo interruttore per consentire agli utenti di scegliere se visualizzare la password quando viene richiesto di accedere e di eseguire l'autenticazione utilizzando i servizi di Workspace ONE Access. Questa nuova funzionalità sarà disponibile nelle schermate di autenticazione che utilizzano il metodo di autenticazione con password.

Workspace ONE Access supporta ora l'autenticazione FIDO2 sui browser mobili

In Workspace ONE Access è ora possibile registrare gli autenticatori FIDO2 e utilizzarli per l'autenticazione sui dispositivi mobili. In precedenza, il supporto della registrazione e dell'autenticazione di FIDO2 era limitato ai browser desktop. Con questa versione, gli utenti finali possono eseguire l'autenticazione nelle app federate di Workspace ONE Access utilizzando un autenticatore FIDO2 (ovvero YubiKey, Touch ID, Windows Hello e così via) utilizzando browser mobili o desktop. Gli utenti finali possono anche registrare autonomamente un autenticatore FIDO2 da utilizzare come metodo di autenticazione primario o a due fattori secondario.

Guida introduttiva di VMware Identity Services

Per i nuovi clienti di Workspace ONE Access e Workspace ONE UEM, abbiamo aggiunto un servizio che renderà più semplice il provisioning degli utenti e la federazione. Ora è possibile utilizzare i servizi di VMware Identity Services per configurare una directory con provisioning di utenti e gruppi utilizzando il protocollo SCIM 2.0 nella console di amministrazione del cloud di Workspace ONE. VMware Identity Services eseguirà automaticamente il provisioning di utenti e gruppi, nonché delle impostazioni di autenticazione, nelle console di amministrazione di Workspace ONE UEM e Workspace ONE Access. 

Provider di identità e origini directory supportati:

• Azure AD, un servizio di identità basato su cloud in Microsoft Azure

• Origine identità SCIM 2.0 generica (testata per Okta)

Per ulteriori informazioni. vedere le Note di rilascio di VMware Identity Services.

Compatibilità dei componenti

Versioni di Windows Server supportate

Workspace ONE Access Connector 23.09 supporta le versioni seguenti.

• Windows Server 2022

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2

Browser Web supportati

• Mozilla Firefox, versione più recente

• Google Chrome, versione più recente

• Safari, la versione più recente.

• Microsoft Edge, versione più recente

Server di directory supportati

• Active Directory in Windows Server 2022, Windows Server 2019, Windows Server 2016 o Windows Server 2012 R2, con un livello di funzionalità del dominio e della foresta di Windows 2003 o versioni successive.

• OpenLDAP - 2.4

• Oracle LDAP - Directory Server Enterprise Edition 11g, Release 1 (11.1.1.7.0)

• IBM Tivoli Directory Server 6.3.1

Compatibilità delle app virtuali

Workspace ONE Access Connector 23.09 supporta le integrazioni di VMware Horizon, Horizon Cloud Service, Citrix e ThinApp con il servizio App virtuale.

Sono supportate le seguenti versioni di Citrix: Citrix Virtual Apps and Desktops 7 2203, Citrix Virtual Apps and Desktops 7 1912 LTSR, XenApp e XenDesktop 7.15 LTSR e XenApp e XenDesktop 7.6 LTSR. Sono supportate le seguenti versioni di Citrix Gateway: 12.1-62.27, 12.1-65.25 e 13.1-37.38. Il connettore supporta l'API Citrix StoreFront e non supporta Citrix Web Interface SDK.

Per conoscere le versioni di Horizon supportate, vedere la matrice di interoperabilità dei prodotti VMware.

Matrice di compatibilità

La matrice di interoperabilità dei prodotti VMware fornisce dettagli sulla compatibilità della versione corrente e di quelle precedenti dei prodotti e dei componenti VMware, ad esempio VMware vCenter Server, VMware ThinApp e Horizon.

Aggiornamento a VMware Workspace ONE Access Connector 23.09 (Windows)

L'aggiornamento a Workspace ONE Access Connector 23.09 è supportato dalle versioni 22.09.1.0, 22.09.0.0, 22.05, 21.08.0.1 e 21.08.0.0.

Per informazioni, vedere la guida Aggiornamento a VMware Workspace ONE Access Connector 23.09.

Migrazione a Workspace ONE Access Connector 23.09 (Windows)

È possibile eseguire la migrazione a Workspace ONE Access Connector 22.09.1.0 dalle stesse versioni supportate per la versione 22.09.0.0

A partire da Workspace ONE Access Connector 19.03.x è disponibile un percorso di migrazione alla versione 22.09. Il processo include l'installazione di nuovi Connector 22.09 e la migrazione delle directory e delle raccolte di app virtuali esistenti ai nuovi Connector. La migrazione è un processo che viene eseguito una sola volta ed è necessario migrare le directory e le raccolte di app virtuali insieme.

Una volta completata la migrazione, non è più necessario Integration Broker per le integrazioni di Citrix. La funzionalità richiesta fa ora parte del componente servizio App virtuale di Workspace ONE Access Connector.

Per informazioni, vedere la guida Migrazione a VMware Workspace ONE Access Connector 22.09.

Dopo la migrazione dei connettori legacy alla versione 22.09, è possibile aggiornarli alla versione 23.09.

La documentazione di VMware Workspace ONE Access è disponibile nel centro documentazione di VMware Workspace ONE Access.

VMware Workspace ONE Access è disponibile nelle lingue seguenti.

• Inglese

• Francese

• Tedesco

• Spagnolo

• Giapponese

• Cinese semplificato

• Coreano

• Cinese tradizionale

• Russo

• Italiano

• Portoghese (Brasile)

• Olandese

Contattare l'assistenza VMware per ricevere assistenza per l'ambiente di Workspace ONE Access. È possibile inviare una richiesta di assistenza all'assistenza VMware online utilizzando l'account VMware CustomerConnect o tramite telefono.

L'articolo della Knowledge Base 2151511 Come accedere al servizio di assistenza di VMware Workspace ONE descrive come contattare il servizio di assistenza di Workspace ONE.