Workspace ONE Access 22.09 Connector は、連邦情報処理標準 (FIPS) 140-2 準拠のアルゴリズムによる暗号化を実行できます。これらのアルゴリズムの使用を有効にするには、FIPS モードで Workspace ONE Access Connector 22.09 を新規インストールするか、FIPS モードでインストールされている 22.05 Connector をバージョン 22.09 にアップグレードします。
Federal Information Processing Standard (FIPS) 140-2 は、暗号化モジュールのセキュリティ要件を指定する、米国およびカナダの政府規格です。『VMware Federal Information Processing Standards (FIPS) 情報ページ』を参照してください。
Workspace ONE Access Connector は、非 FIPS インストールから FIPS インストールへのアップグレードや移行、または FIPS インストールから 非 FIPS インストールへのアップグレードや移行をサポートしていません。22.05 より前のすべてのコネクタ バージョンは、非 FIPS インストールでした。
- FIPS モードの Workspace ONE Access Connector は、Workspace ONE Access FedRAMP テナントでのみサポートされます。他のタイプのテナントおよびオンプレミスの Workspace ONE Access インストールでは、FIPS モードのコネクタはサポートされません。
- 仮想アプリケーション サービスは FIPS モードをサポートしていません。FIPS モードが有効になっている Workspace ONE Access Connector は、Citrix、Horizon、シングル ポッド ブローカを使用した Horizon Cloud Service on Microsoft Azure、Horizon Cloud Service on IBM Cloud、または ThinApp との統合をサポートしていません。FIPS モードが有効になっている Workspace ONE Access Connector は、Universal Broker を使用した Horizon Cloud Service on Microsoft Azure で実行されている仮想アプリケーションとの統合をサポートします。
FIPS モードでの Workspace ONE Access Connector のインストール
Workspace ONE Access Connector で FIPS モードを有効にするには、インストール時に [FIPS を有効にする] オプションを選択します。
- インストール後にモードを FIPS モードから非 FIPS モードに、または非 FIPS モードから FIPS モードに変更することはできません。したがって、インストールを開始する前に、要件と前提条件を慎重に確認し、FIPS を有効にするかどうかを決めてください。
- また、FIPS インストールは FIPS インストールにのみアップグレードでき、非 FIPS インストールは非 FIPS インストールにのみアップグレードできることに注意してください。
FIPS モードの要件と前提条件
FIPS モードのコネクタには、次の要件と前提条件が適用されます。
- すべてのコネクタ インスタンスを FIPS モードでインストールすることを確認します。Workspace ONE Access テナントに関連付けられているすべてのコネクタ インスタンスは、FIPS モードで実行するか、または、どのエンタープライズ サービスがインストールされているかに関係なく、すべて非 FIPS モードで実行する必要があります。一部のコネクタ インスタンスを FIPS モードで展開し、その他のインスタンスを非 FIPS モードで展開するというようなことはしないでください。
- 統合 Windows 認証 (IWA) を使用する Active Directory タイプのディレクトリの場合:
- Workspace ONE Access で IWA を使用する Active Directory タイプのディレクトリを作成するには、バインド DN ユーザー パスワードの長さを 14 文字以上にする必要があります。
- パスワードの 14 文字の最小長は、IWA ディレクトリ内のすべての同期済みユーザーにも適用されます。
- sAMAccountName 属性を使用する場合、ユーザーの sAMAccountName とドメイン名の長さは 16 文字以上にする必要があります。
- Active Directory のパスワードの変更機能の場合:
- Active Directory のパスワード変更機能では、エンド ユーザーのパスワードを 14 文字以上にする必要があります。
既存のパスワードはこの要件を満たす必要があります。既存のパスワードが 14 文字未満の場合、ユーザーは Intelligent Hub アプリケーションまたはポータルからパスワードを変更できません。
新しいパスワードもこの要件を満たす必要があります。ユーザーが Intelligent Hub アプリケーションまたはポータルから新しいパスワードを作成する場合、14 文字の最小文字数は強制されません。ただし、新しいパスワードが 14 文字以上でない場合、ユーザーはパスワードを再度変更できません。また、ユーザーが統合 Windows 認証を使用する Active Directory タイプのディレクトリに属している場合、ユーザーは新しいパスワードで Intelligent Hub アプリケーションまたはポータルにログインすることができません。
- sAMAccountName 属性を使用する場合、ユーザーの sAMAccountName とドメイン名の長さは 16 文字以上にする必要があります。
- Active Directory のパスワード変更機能では、エンド ユーザーのパスワードを 14 文字以上にする必要があります。
- [すべての接続に必要な STARTTLS] または [すべての接続に必要な LDAPS] オプションを選択して Active Directory への接続を設定する場合は、ドメイン コントローラに有効なパブリック CA 署名付き証明書が必要です。
ベスト プラクティスは、FIPS モードで Workspace ONE Access Connector をインストールする前に、これらの前提条件を実装することです。