Configurare le applicazioni SaaS per richiedere l'approvazione prima che gli utenti possano accedervi. Utilizzare questa funzionalità quando sono presenti applicazioni SaaS che utilizzano le licenze per l'accesso per aiutare a gestire le relative attivazioni. Quando si abilitano le approvazioni, configurare l'opzione corrispondente, Richiesta approvazione licenza, nel record dell'applicazione SaaS applicabile.

  • Approvazione flusso di lavoro: gli utenti visualizzano l'applicazione nel catalogo Workspace ONE e richiedono l'utilizzo dell'applicazione. Workspace ONE Access invia il messaggio della richiesta di approvazione all'URL dell'endpoint REST di approvazione configurato dell'azienda. Il sistema esamina la richiesta e invia un messaggio di approvazione o rifiuto a Workspace ONE Access. Quando un'applicazione viene approvata, lo stato dell'applicazione passa da In sospeso a Aggiunto e l'applicazione viene visualizzata nella pagina di avvio di Workspace ONE.****
  • Motori di approvazione - il sistema offre due motori di approvazione.
    • API REST - il motore di approvazione dell'API REST utilizza uno strumento di approvazione esterno che viene instradato tramite l'API REST del server Web per eseguire la richiesta e le risposte di approvazione. Immettere l'URL dell'API REST nel servizio Workspace ONE Access e configurare le API REST con i valori delle credenziali del client OAuth di Workspace ONE Access, la richiesta di callout e l'azione di risposta.
    • API REST tramite connettore - l'API REST tramite il motore di approvazione del connettore instrada le chiamate di callback attraverso il connettore utilizzando il canale di comunicazione basato su Websocket. Configurare l'endpoint dell'API REST con la richiesta di callout e l'azione di risposta.

Metadati SAML e certificati autofirmati o certificati da CA

È possibile utilizzare i certificati SAML dalla pagina Impostazioni per i sistemi di autenticazione come il Single Sign-On mobile. Il servizio Workspace ONE Access crea automaticamente un certificato autofirmato per la firma SAML. Tuttavia, alcune organizzazioni richiedono certificati rilasciati da autorità di certificazione (CA, Certificate Authority). Per richiedere un certificato alla propria CA, generare una richiesta di firma del certificato (CSR) in Impostazioni. È possibile utilizzare entrambi i tipi di certificati per autenticare gli utenti per le applicazioni SaaS.

Inviare il certificato alle applicazioni interessate per configurare l'autenticazione tra l'applicazione e il sistema Workspace ONE.

È possibile aggiungere fornitori di identità terzi per autenticare gli utenti in Workspace ONE Access. Per configurare l'istanza del provider, utilizzare i metadati del provider di identità e del provider di servizi copiati dalla sezione Impostazioni nella console di AirWatch. Per informazioni dettagliate su come configurare i fornitori terzi, vedere Configurare un'istanza del fornitore di identità di terze parti per l'autenticazione degli utenti in Workspace ONE Access.

È possibile configurare l'origine dell'applicazione selezionando il provider di identità di terze parti corrispondente. Dopo aver impostato l'origine dell'applicazione, è possibile creare le applicazioni associate.

Configurare le approvazioni per le applicazioni SaaS

Utilizzare le approvazioni per le applicazioni SaaS che attivano le licenze per l'utilizzo. Quando attivati con l'opzione Richiesta approvazione licenza corrispondente, gli utenti richiedono l'accesso alle applicazioni SaaS applicabili dal catalogo di Workspace ONE prima dell'installazione e dell'attivazione di una licenza.

  1. Selezionare Risorse > App > SaaS, quindi scegliere Impostazioni.
  2. Selezionare Approvazioni.
  3. Selezionare per abilitare la funzionalità.
  4. Selezionare un Motore di approvazione che il sistema utilizzerà per richiedere le approvazioni.
  5. Immettere l' URI (Uniform Resource Identifier) callback della risorsa REST che resta in ascolto della richiesta di callout.
  6. Immettere il Nome utente, se l'API REST richiede le credenziali per l'accesso.
  7. Immettere la Password per il nome utente, se l'API REST richiede le credenziali per l'accesso.
  8. Immettere il certificato SSL in formato PEM (posta elettronica con privacy avanzata) per l'opzione Certificato SSL in formato PEM, se la risorsa REST viene eseguita su un server che ha un certificato autofirmato o un certificato non attendibile da un'autorità di certificati pubblica e utilizza HTTPS.

Configurare i metadati SAML per la funzione Single Sign-On

Recuperare i metadati SAML e i certificati dalla pagina Impostazioni per la funzionalità Single Sign-On con le applicazioni SaaS.

Importante: Tutte le connessioni Single Sign-on che dipendono dai metadati SAML esistenti si interrompono quando il processo di generazione CSR crea i metadati SAML.

Nota: Se si sostituisce un certificato SSL esistente, questa operazione modifica i metadati SAML esistenti. se si sostituisce un certificato SSL, è necessario aggiornare le applicazioni SaaS configurate per il Single Sign-On mobile con il certificato più recente.

  1. Selezionare Risorse > App > SaaS, quindi scegliere Impostazioni.

  2. Selezionare Metadati SAML > Scarica metadati SAML e completare le attività.

    Impostazione Descrizione
    Metadati SAML Copiare e salvare i metadati del fornitore di identità e del provider di servizi.
    Selezionare i link e aprire un'istanza del browser con i dati XML.
    Configurare il fornitore di identità di terze parti con queste informazioni.
    Certificato di firma Copiare il certificato di firma che include tutto il codice nell'area di testo.
    È inoltre possibile scaricare il certificato per salvarlo come file TXT.
  3. Selezionare Genera CSR e completare le attività necessarie per richiedere un certificato di identità digitale (certificato SSL) all'autorità di certificazione. Questa richiesta identifica azienda, nome di dominio e chiave pubblica. L'autorità di certificazione indipendente la utilizza per rilasciare il certificato SSL. Per aggiornare i metadati, caricare il certificato firmato.

    Impostazione - Nuovo certificato Descrizione
    Nome comune Immettere il nome dominio completo per il server aziendale.
    Organizzazione Immettere la ragione sociale registrata dell'azienda.
    Dipartimento Specificare il reparto dell'azienda a cui si riferisce il certificato.
    Città Immettere la città in cui si trova la sede legale dell'azienda.
    Stato/provincia Immettere lo stato o la provincia in cui si trova la sede legale dell'azienda.
    Nazione Immettere il paese in cui si trova la sede legale dell'azienda.
    Algoritmo di generazione delle chiavi Selezionare un algoritmo utilizzato per firmare la CSR.
    Dimensioni chiave Selezionare il numero di bit usati nella chiave. Selezionare 2048 o numero superiore.
    Le dimensioni di chiavi RSA inferiori a 2048 sono considerate non sicure.
    Impostazione - Sostituzione di un certificato Descrizione
    Caricare il certificato SSL Caricare il certificato SSL ricevuto dall'autorità di certificazione terza.
    Certificate Signing Request Scaricare la richiesta di firma del certificato (Certificate Signing Request, CSR). Inviare la CSR all'autorità di certificazione indipendente.

Configurare l'origine dell'applicazione per i fornitori di identità di terze parti

L'aggiunta di un fornitore di identità come origine dell'applicazione semplifica il processo di aggiunta di singole applicazioni dal fornitore al catalogo dell'utente finale poiché è possibile applicare le impostazioni e i criteri configurati dall'origine dell'applicazione di terze parti a tutte le applicazioni gestite dall'origine dell'applicazione.

Per iniziare, autorizzare il gruppo ALL_USERS per l'origine dell'applicazione e selezionare un criterio di accesso da applicare.

Le applicazioni Web che utilizzano il profilo di autenticazione SAML 2.0 possono essere aggiunte al catalogo. La configurazione dell'applicazione è basata sulle impostazioni configurate nell'origine dell'applicazione. Devono essere configurati solo il nome dell'applicazione e l'URL di destinazione.

Quando si aggiungono applicazioni, è possibile autorizzare utenti e gruppi specifici e applicare un criterio di accesso per controllare l'accesso degli utenti all'applicazione. Gli utenti possono accedere a queste applicazioni dai propri sistemi desktop e dispositivi mobili.

Le impostazioni e i criteri configurati dall'origine dell'applicazione di terze parti sono applicabili a tutte le applicazioni gestite dall'origine dell'applicazione. A volte, i provider di identità di terze parti inviano una richiesta di autenticazione senza indicare l'applicazione a cui l'utente sta tentando di accedere. Se Workspace ONE Access riceve una richiesta di autenticazione che non include le informazioni sull'applicazione, vengono applicate le regole dei criteri di accesso di backup configurate nell'origine dell'applicazione.

È possibile configurare i provider di identità seguenti come origini di un'applicazione.

  • Okta
  • Server PingFederated da Ping Identity
  • Active Directory Federation Services (ADFS)

Configurare l'origine dell'applicazione selezionando il provider di identità di terze parti. Dopo aver impostato l'origine dell'applicazione, è possibile creare le applicazioni associate e autorizzare gli utenti.

  1. Selezionare Risorse > App > SaaS, quindi scegliere Impostazioni.

  2. Selezionare Origini dell'applicazione.

  3. Selezionare il provider di identità di terze parti. Viene visualizzata la procedura guidata di origine dell'applicazione del provider di identità di terze parti.

  4. Immettere un nome descrittivo da assegnare all'origine dell'applicazione e fare clic su Avanti.

  5. Il Tipo di autenticazione viene impostato in modo predefinito su SAML 2.0 ed è di sola lettura.

  6. Modificare la Configurazione dell'origine dell'applicazione

    Impostazioni di configurazione: URL/XML

    Impostazione Descrizione
    Configurazione URL/XML è l'opzione predefinita per le applicazioni SaaS che non fanno ancora parte del catalogo Workspace ONE.
    URL/XML Immettere l'URL se i metadati XML sono accessibili su Internet.
    Incollare l'XML nella casella di testo se i metadati XML sono noti, ma non accessibili su Internet.
    Utilizzare la configurazione manuale se non si dispone dei metadati XML.
    URL stato inoltro Immettere l'URL di destinazione desiderato per gli utenti dell'applicazione SaaS dopo una procedura di Single Sign-On in uno scenario IDP (Identity Provider-Initiated).

    Impostazioni di configurazione: manuale

    Impostazione Descrizione
    Configurazione Manuale è l'opzione predefinita per le applicazioni SaaS aggiunte dal catalogo.
    URL Single Sign-on Immettere l'URL Assertion Consumer Service (ACS).
    Workspace ONE invia questo URL al provider di servizi per il Single Sign-on.
    URL destinatario Immettere l'URL con il valore specifico richiesto dal provider di servizi che indica il dominio nell'oggetto di asserzione SAML.
    Se il provider di servizi non richiede un valore specifico per questo URL, immettere quello indicato in URL Single Sign-On.
    ID dell'applicazione Inserire l'ID che identifica il tenant del fornitore di servizi in Workspace ONE. Workspace ONE invia l'asserzione SAML all'ID.
    Alcuni provider di servizi usano l'URL Single Sign-On.
    Formato nome utente Selezionare il formato richiesto dai provider di servizi per il formato dell'oggetto SAML.
    Valore nome utente Immettere il Valore ID nome inviato da Workspace ONE nell'istruzione di oggetto dell'asserzione SAML.
    Questo valore è un valore del campo profilo predefinito per un nome utente presso il provider di servizi di applicazioni.
    URL stato inoltro Immettere l'URL di destinazione desiderato per gli utenti dell'applicazione SaaS dopo una procedura di Single Sign-On in uno scenario IDP (Identity Provider-Initiated).
  7. Modificare le Proprietà avanzate.

    Impostazione Descrizione
    Firma di risposta Inserire l'URL per indirizzare gli utenti all'applicazione SaaS su Internet.
    Firma di asserzione Immettere l'URL Assertion Consumer Service (ACS).
    Workspace ONE invia questo URL al provider di servizi per il Single Sign-on.
    Crittografa asserzione Immettere l'URL con il valore specifico richiesto dal provider di servizi che indica il dominio nell'oggetto di asserzione SAML.
    Se il provider di servizi non richiede un valore specifico per questo URL, immettere quello indicato in URL Single Sign-On.
    Includi firma di asserzione Inserire l'ID che identifica il tenant del fornitore di servizi in Workspace ONE. Workspace ONE invia l'asserzione SAML all'ID.
    Alcuni provider di servizi usano l'URL Single Sign-On.
    Algoritmo della firma Selezionare SHA256 con RSA come algoritmo hash crittografato sicuro.
    Algoritmo Digest Selezionare SHA256
    Ora asserzione Inserire il tempo di asserzione SAML in secondi.
    Richiedi firma Se si desidera che il provider di servizi firmi la richiesta inviata a Workspace ONE, immettere il certificato di firma pubblico.
    Certificato di crittografia Immettere il certificato di crittografia pubblica se si desidera che la richiesta SAML del provider di servizi delle applicazioni di Workspace ONE venga firmato.
    URL di accesso dell'applicazione Immettere l'URL della pagina di accesso del provider di servizi. Questa opzione induce il provider di servizi ad avviare la procedura di accesso a Workspace ONE. Alcuni provider di servizi richiedono che l'autenticazione cominci dalla propria pagina di accesso.
    Conteggio proxy Immettere i livelli proxy consentiti fra il provider di servizi e un provider di identità per l'autenticazione.
    Accesso API Consenti l'accesso API a questa applicazione.
  8. Configurare Mappatura degli attributi personalizzati. Se il provider di servizi consente di utilizzare attributi personalizzati diversi da quelli per il Single Sign-On, aggiungerli.

  9. Selezionare Apri in VMware Browser se si desidera aprire l'applicazione in VMware Browser. Tuttavia, è necessario che Workspace ONE apra l'applicazione in VMware Browser. Se si utilizza VMware Browser, è possibile aprire le applicazioni SaaS al suo interno per aumentarne ulteriormente la sicurezza. Questa azione mantiene l'accesso nell'ambito delle risorse interne.

  10. Fare clic su Avanti.

  11. Per proteggere l'accesso alle risorse dell'applicazione, selezionare i Criteri di accesso. Fare clic su Avanti per visualizzare la pagina di Riepilogo.

  12. Fare clic su Salva. Se si seleziona Salva e Assegna durante la configurazione dell'origine dell'applicazione, impostare i permessi per l'origine dell'applicazione su Tutti gli utenti. È comunque possibile modificare le impostazioni predefinite e gestire i permessi dell'utente, nonché aggiungere utenti o gruppi di utenti.

  13. Dopo aver configurato il provider di identità come origine di un'applicazione, è possibile creare le applicazioni associate per ciascuno dei provider di identità di terze parti. Una volta completate le opzioni nella scheda Definizione, è possibile selezionare OKTA dal menu a discesa Tipo di autenticazione nella scheda Configurazione.

  14. È possibile impostare i permessi per l'origine dell'applicazione su Tutti gli utenti oppure aggiungere utenti/gruppi utenti. Per impostazione predefinita, se si seleziona Salva e assegna durante la configurazione dell'origine dell'applicazione, si impostano i permessi per l'origine dell'applicazione su Tutti gli utenti.

check-circle-line exclamation-circle-line close-line
Scroll to top icon