Workspace ONE Access Connector 23.09 kan cryptografische bewerkingen uitvoeren met behulp van algoritmen die voldoen aan Federal Information Processing Standard (FIPS) 140- -2. U kunt het gebruik van deze algoritmen inschakelen door een nieuwe installatie van Workspace ONE Access Connector 23.09 in FIPS-modus uit te voeren of een Connector 22.05 of 22.09 die in de FIPS-modus is geïnstalleerd, te upgraden naar versie 23.09.
De FIPS (Federal Information Processing Standard) 140-2 is een Amerikaanse en Canadese overheidsstandaard die beveiligingsvereisten voor cryptografische modules specificeert. Zie de VMware-informatiepagina over FIPS (Federal Information Processing Standards).
Workspace ONE Access Connector biedt geen ondersteuning voor het upgraden of migreren van een niet-FIPS-installatie naar een FIPS-installatie of van een FIPS-installatie naar een niet-FIPS-installatie. Alle connectorversies vóór 22.05 zijn niet-FIPS-installaties.
- Workspace ONE Access Connector in de FIPS-modus wordt alleen ondersteund met Workspace ONE Access FedRAMP-tenants. Andere typen tenants en Workspace ONE Access-installaties op locatie ondersteunen de connector in de FIPS-modus niet.
- De service Virtuele app ondersteunt de FIPS-modus niet. Een Workspace ONE Access Connector waarop de FIPS-modus is ingeschakeld, biedt geen ondersteuning voor de integratie met Citrix, Horizon, Horizon Cloud Service on Microsoft Azure with Single-Pod Broker of Horizon Cloud Service on IBM Cloud of ThinApp. Een Workspace ONE Access Connector waarop de FIPS-modus is ingeschakeld, ondersteunt de integratie van virtuele apps die in Horizon Cloud Service on Microsoft Azure with Universal Broker worden uitgevoerd.
Workspace ONE Access Connector in FIPS-modus installeren
Om de FIPS-modus voor Workspace ONE Access Connector te activeren, selecteert u de optie FIPS inschakelen tijdens de installatie.
- U kunt de modus na de installatie niet wijzigen, niet van de FIPS-modus naar de niet-FIPS-modus en ook niet van de niet-FIPS-modus naar de FIPS-modus. Controleer daarom de vereisten zorgvuldig en bepaal of u FIPS wilt inschakelen of niet voordat u met de installatie begint.
- Houd er ook rekening mee dat een FIPS-installatie alleen kan worden geüpgraded naar een FIPS-installatie en dat een niet-FIPS-installatie alleen kan worden geüpgraded naar een niet-FIPS-installatie.
Vereisten voor de FIPS-modus
Voor de connector in de FIPS-modus gelden de volgende vereisten.
- Zorg ervoor dat u alle connectorinstanties in de FIPS-modus installeert. Alle connectorinstanties die aan een Workspace ONE Access-tenant zijn gekoppeld, moeten in de FIPS-modus worden uitgevoerd, of ze moeten allemaal in een niet-FIPS-modus worden uitgevoerd, ongeacht de bedrijfsservices die erop zijn geïnstalleerd. Implementeer niet bepaalde connectorinstanties in de FIPS-modus en andere in de niet-FIPS-modus.
- Voor directory's van het type Active Directory via geïntegreerde Windows-verificatie (IWA):
- Als u een directory van het type Active Directory via IWA in Workspace ONE Access wilt maken, moet het Bind DN-gebruikerswachtwoord een minimumlengte hebben van 14 tekens.
- De minimale lengte van 14 tekens voor wachtwoorden is ook van toepassing op alle gesynchroniseerde gebruikers in de IWA-directory.
- Als het kenmerk sAMAccountName wordt gebruikt, moet de sAMAccountName plus domeinnaam van de gebruiker een minimumlengte van 16 tekens hebben.
- Voor de functie Wachtwoord wijzigen voor Active Directory:
- Voor de functie Wachtwoord wijzigen voor Active Directory is een minimale lengte van 14 tekens vereist voor wachtwoorden van eindgebruikers.
Bestaande wachtwoorden moeten aan deze vereiste voldoen. Gebruikers kunnen hun wachtwoorden niet wijzigen vanuit de Intelligent Hub-app of -portal als hun bestaande wachtwoord minder dan 14 tekens heeft.
Nieuwe wachtwoorden moeten ook aan deze vereiste voldoen. Het minimum van 14 tekens wordt niet afgedwongen wanneer gebruikers een nieuw wachtwoord maken vanuit de Intelligent Hub-app of -portal. Als het nieuwe wachtwoord echter niet minstens 14 tekens lang is, kan de gebruiker het wachtwoord niet opnieuw wijzigen. Als de gebruiker behoort tot een directory van het type Active Directory via geïntegreerde Windows-verificatie, kan de gebruiker zich niet aanmelden bij de Intelligent Hub-app of -portal met het nieuwe wachtwoord.
- Als het kenmerk sAMAccountName wordt gebruikt, moet de sAMAccountName plus domeinnaam van de gebruiker een minimumlengte van 16 tekens hebben.
- Voor de functie Wachtwoord wijzigen voor Active Directory is een minimale lengte van 14 tekens vereist voor wachtwoorden van eindgebruikers.
- Als u de verbinding met Active Directory instelt met de optie STARTTLS is vereist voor alle verbindingen of LDAPS is vereist voor alle verbindingen, moeten de domeincontrollers geldige, openbare CA-ondertekende certificaten hebben.
U doet er daarom goed aan deze vereisten te implementeren voordat u Workspace ONE Access Connector in de FIPS-modus installeert.