Instellingen bevatten functies die van toepassing zijn op alle SaaS-applicaties in uw Workspace ONE-omgeving. Toegang met configuraties voor SAML-verificatie en vereiste goedkeuringen beheren.

Configureer SaaS-applicaties zodat verificatie wordt vereist voordat gebruikers er toegang toe hebben. Gebruik deze functie als u SaaS-applicaties heeft die licenties gebruiken voor toegang om te helpen met het beheren van licentieactiveringen. Wanneer u goedkeuringen inschakelt, configureert u de bijbehorende optie Licentiegoedkeuring vereist in het toepasselijke SaaS-applicatierecord.

  • Goedkeuringswerkstroom - Gebruikers zien de applicatie in hun Workspace ONE-catalogus en vragen om gebruik van de applicatie. Workspace ONE Access stuurt een bericht met het goedkeuringsverzoek naar de geconfigureerde REST-eindpunt-URL van de organisatie. Het systeem beoordeelt de aanvraag en stuurt een goedkeurings- of weigeringsbericht terug naar Workspace ONE Access. Wanneer een applicatie wordt goedgekeurd, verandert de applicatiestatus van In behandeling naar Toegevoegd en wordt de applicatie weergegeven op de Workspace ONE-startpagina van de gebruiker.
  • Goedkeuringsengines - Het systeem biedt twee goedkeuringsengines.
    • REST API - De REST API-goedkeuringsengine maakt gebruik van een extern goedkeuringsprogramma dat door de REST API van uw webserver routeert om de aanvraag- en goedkeuringsantwoorden uit te voeren. U voert uw REST API-URL in de Workspace ONE Access-service in en configureert uw REST API's met de waarden van de Workspace ONE Access OAuth-clientinloggegevens en de callout-aanvraag en -reactie.
    • REST API via Connector - De REST API via de Connector-goedkeuringsengine routeert de callback-opdrachten door de connector met behulp van het op Websocket gebaseerde communicatiekanaal. U configureert uw REST API-eindpunt met de callout-aanvraag en -reactie.

SAML-metagegevens en automatisch ondertekende certificaten of certificaten van CA's

U kunt SAML-certificaten van de pagina Instellingen gebruiken voor verificatiesystemen zoals eenmalige aanmelding (SSO) voor mobiel. De Workspace ONE Access-service maakt automatisch een zelfondertekend certificaat voor SAML-ondertekening aan. In sommige organisaties zijn echter certificaten van certificaatautoriteiten vereist. Genereer een certificaatondertekeningsaanvraag (CSR) in de Instellingen om een certificaat aan te vragen bij uw CA. U kunt beide certificaten gebruiken om gebruikers in SaaS-applicaties te verifiëren.

Stuur het certificaat naar afhankelijke applicaties om de verificatie tussen de applicatie en het Workspace ONE-systeem te configureren.

U kunt externe aanbieders van identiteitsbeheer om gebruikers te verifiëren toevoegen in Workspace ONE Access. Gebruik de metagegevens van de aanbieder van identiteitsbeheer en serviceprovider die u uit de Instellingen in de AirWatch-console heeft gekopieerd om de providerinstantie te configureren. Raadpleeg Configureer een externe identiteitsproviderinstantie om gebruikers te verifiëren in Workspace ONE Access voor gedetailleerde informatie over het configureren van externe identiteitsproviders.

U kunt uw toepassingsbron configureren door de bijbehorende externe identiteitsprovider te selecteren. Nadat de toepassingsbron is ingesteld, kunt u de bijbehorende applicaties creëren.

Goedkeuringen voor uw SaaS-applicaties configureren

Gebruik goedkeuringen voor SaaS-applicaties die licenties activeren voor gebruik. Wanneer ingeschakeld met de bijbehorende optie Licentiegoedkeuring vereist, hebben gebruikers toegang nodig tot toepasselijke SaaS-applicaties vanuit de Workspace ONE-catalogus vóór installatie en activering van de licentie.

  1. Navigeer naar Resources > Apps > SaaS en selecteer Instellingen.
  2. Selecteer Goedkeuringen.
  3. Klik op Ja om de functie in te schakelen.
  4. Selecteer een Goedkeuringsengine die het systeem gebruikt om goedkeuringen aan te vragen.
  5. Voer de callback-URI (Uniform Resource Identifier) in van de REST-resource die de callout-aanvraag waarneemt.
  6. Voer de gebruikersnaam in als de REST API inloggegevens voor toegang vereist.
  7. Voer het wachtwoord voor de gebruikersnaam in als de REST API inloggegevens voor toegang vereist.
  8. Voer het SSL-certificaat in PEM-indeling (privacy-enhanced electronic mail) in voor de optie SSL-certificaat PEM-indeling als de REST-resource wordt uitgevoerd op een server met een zelfondertekend certificaat of een certificaat dat niet wordt vertrouwd door een publieke certificaatautoriteit en HTTPS gebruikt.

SAML-metagegevens voor single sign-on configureren

Haal SAML-metagegevens en certificaten op uit de pagina Instellingen voor single sign-on-functionaliteit met SaaS-applicaties.

Belangrijk: Alle verbindingen voor eenmalige aanmelding (SSO) die afhankelijk zijn van de bestaande SAML-metagegevens werken niet meer zodra tijdens het genereren van een certificaatondertekeningsaanvraag (CSR) SAML-metagegevens worden aangemaakt.
Opmerking:
Als u een bestaand SSL-certificaat vervangt, worden hiermee de bestaande SAML-metagegevens gewijzigd. Als u een SSL-certificaat vervangt, moet u het nieuwe certificaat ook toevoegen aan uw SaaS-applicaties met eenmalige aanmelding (SSO) voor mobiel.
  1. Navigeer naar Resources > Apps > SaaS en selecteer Instellingen.
  2. Selecteer SAML-metagegevens > SAML-metagegevens downloaden en voltooi de taken.
    Tabel 1.
    Instelling Beschrijving
    SAML-metagegevens Kopieer de metagegevens van de Aanbieder van identiteitsbeheer en de Serviceaanbieder en sla deze op.

    Klik op de links om de XML-gegevens in een browser te openen.

    Configureer uw externe aanbieder van identiteitsbeheer met deze gegevens.

    Ondertekeningscertificaat Kopieer het ondertekeningscertificaat, inclusief de volledige code in het tekstveld.

    U kunt het certificaat ook downloaden en opslaan als TXT-bestand.

  3. Klik op Certificaatondertekeningsaanvraag (CSR) genereren en voer de taken uit om een SSL-certificaat bij uw certificaatautoriteit (CA) aan te vragen. Deze aanvraag bevat uw bedrijfsnaam, domeinnaam en publieke sleutel. De externe certificaatautoriteit gebruikt die gegevens om een SSL-certificaat uit te geven. Upload het ondertekende certificaat om de metagegevens bij te werken.
    Instelling nieuw certificaat Beschrijving
    Algemene naam Voer de volledig gekwalificeerde domeinnaam (FQDN) van de server van de organisatie in.
    Organisatie Voer de officieel geregistreerde naam van het bedrijf in.
    Afdeling Voer de afdeling binnen uw organisatie waar het certificaat naar verwijst in.
    Stad Voer de plaats in waarin de organisatie officieel is gevestigd.
    Provincie Voer de staat of provincie in waar de organisatie officieel is gevestigd.
    Land Voer het land in waar de organisatie officieel is gevestigd.
    Algoritme voor genereren van sleutel Selecteer het algoritme waarmee de certificaatondertekeningsaanvraag (CSR) is ondertekend.
    Sleutelgrootte Selecteer het aantal bits van de sleutel. Selecteer 2048 of hoger.

    RSA-sleutelgroottes lager dan 2048 worden als onveilig beschouwd.

    Instelling een certificaat vervangen Instelling
    SSL-certificaat uploaden Upload het SSL-certificaat dat u van uw externe certificaatautoriteit (CA) hebt ontvangen.
    Certificaatondertekeningsaanvraag Download de certificaatondertekeningsaanvraag (CSR). Stuur de certificaatondertekeningsaanvraag (CSR) naar uw externe certificaatautoriteit (CA).

Applicatiebron voor externe aanbieders van identiteitsbeheer configureren

Door een aanbieder van identiteitsbeheer als applicatiebron toe te voegen, wordt het proces van het toevoegen van individuele applicaties van die aanbieder aan de eindgebruikerscatalogus gestroomlijnd, doordat u geconfigureerde instellingen en netwerkbeleid van externe applicatiebronnen kunt toepassen op alle applicaties die door de applicatiebron worden beheerd.

Verleen om te beginnen de rechten van de toepassingsbron aan de groep ALL_USERS en selecteer een toegangsbeleid dat moet worden toegepast.

Webapplicaties die gebruikmaken van het SAML 2.0-verificatieprofiel kunnen worden toegevoegd aan de catalogus. De configuratie van de applicatie is gebaseerd op de instellingen die zijn geconfigureerd in de toepassingsbron. Alleen de applicatienaam en de doel-URL moeten worden geconfigureerd.

Wanneer u applicaties toevoegt, kunt u rechten aan specifieke gebruikers en groepen verlenen en een toegangsbeleid toepassen om de gebruikerstoegang tot de applicatie te beheren. Gebruikers hebben toegang tot deze applicaties vanaf hun desktops en mobiele apparaten.

De geconfigureerde instellingen en beleidsregels van de externe toepassingsbron kunnen worden toegepast op alle applicaties die worden beheerd door de toepassingsbron. Soms sturen externe identiteitsproviders een verificatieverzoek zonder de applicatie te vermelden die een gebruiker probeert te openen. Als Workspace ONE Access een verificatieverzoek zonder informatie over de applicatie ontvangt, worden de beleidsregels toegepast voor back-uptoegang die in de applicatieresource zijn geconfigureerd.

De volgende identiteitsproviders kunnen worden geconfigureerd als toepassingsbronnen.

  • Okta
  • PingFederated-server van Ping Identity
  • Active Directory Federation Services (ADFS)

Configureer uw toepassingsbron door de externe identiteitsprovider te selecteren. Nadat de toepassingsbron is ingesteld, kunt u de bijbehorende applicaties creëren en rechten aan de gebruikers verlenen.

  1. Navigeer naar Resources > Apps > SaaS en selecteer Instellingen.
  2. Selecteer Toepassingsbronnen.
  3. Selecteer de externe identiteitsprovider. De toepassingsbronwizard van de externe identiteitsprovider wordt weergegeven.
  4. Voer een beschrijvende naam voor de toepassingsbron in en klik op Volgende.
  5. Verificatietype is standaard ingesteld op SAML 2.0 en is alleen-lezen.
  6. Wijzig de configuratie van de applicatiebron
    Tabel 2. Configuratie-instellingen - URL/XML
    Instelling Beschrijving
    Configuratie URL/XML is de standaardoptie voor SaaS-applicaties die nog niet in de Workspace ONE-catalogus zijn opgenomen.
    URL/XML Voer de URL in als de XML-metagegevens via internet toegankelijk zijn.

    Als de XML-metagegevens niet via internet toegankelijk zijn, maar u er wel over beschikt, plakt u ze in het tekstveld.

    Gebruik de handmatige configuratie als u niet over de XML-metagegevens beschikt.

    Relaystatus-URL Voer de URL in waar de SaaS-applicatie de gebruikers na de eenmalige aanmelding (SSO) naartoe moet leiden wanneer de aanmelding door een aanbieder van identiteitsbeheer wordt geïnitieerd.
    Tabel 3. Configuratie-instellingen - Handmatig
    Instelling Beschrijving
    Configuratie Voor SaaS-applicaties die vanuit de catalogus zijn toegevoegd, is Handmatig de standaardoptie.
    URL voor eenmalige aanmelding (SSO) Voer de URL van de Assertion Consumer Service (ACS) in.

    Workspace ONE stuurt deze URL naar uw serviceaanbieder voor eenmalige aanmelding (SSO).

    Ontvangende URL Voer de URL in met de specifieke waarde van uw serviceaanbieder met het domein in het SAML-assertieonderwerp.

    Als u van uw serviceaanbieder geen specifieke URL moet invoeren, voer dan dezelfde URL in als de URL voor Single Sign-On.

    Applicatie-ID Voer het id waaraan Workspace ONE uw serviceaanbieder-tenant kan herkennen. Workspace ONE stuurt de SAML-assertie naar het id.

    Sommige serviceproviders gebruiken de URL voor eenmalige aanmelding (SSO).

    Gebruikersnaam - formaat Selecteer de indeling voor het SAML-onderwerp zoals vereist door de serviceaanbieder.
    Gebruikersnaam - waarde Voer de waarde in voor het naam-id die Workspace ONE in het onderwerp van de SAML-assertie verzendt.

    Dit is een standaardwaarde voor een profielveld voor een gebruikersnaam bij de applicatieserviceaanbieder.

    Relaystatus-URL Voer de URL in waar de SaaS-applicatie de gebruikers na de eenmalige aanmelding (SSO) naartoe moet leiden wanneer de aanmelding door een aanbieder van identiteitsbeheer wordt geïnitieerd.
  7. Wijzig de Geavanceerde eigenschappen.
    Instelling Beschrijving
    Antwoord ondertekenen Voer de URL in om gebruikers naar de SaaS-applicatie op het internet te leiden.
    Assertie ondertekenen Voer de URL van de Assertion Consumer Service (ACS) in.

    Workspace ONE stuurt deze URL naar uw serviceaanbieder voor eenmalige aanmelding (SSO).

    Assertie encrypteren Voer de URL in met de specifieke waarde van uw serviceaanbieder met het domein in het SAML-assertieonderwerp.

    Als u van uw serviceaanbieder geen specifieke URL moet invoeren, voer dan dezelfde URL in als de URL voor Single Sign-On.

    Assertiehandtekening toevoegen Voer het id waaraan Workspace ONE uw serviceaanbieder-tenant kan herkennen. Workspace ONE stuurt de SAML-assertie naar het id.

    Sommige serviceproviders gebruiken de URL voor eenmalige aanmelding (SSO).

    Algoritme voor handtekening Selecteer SHA256 met RSA als het veilig geëncrypteerde hash-algoritme.
    Algoritme voor digest Selecteer SHA256
    Assertietijd Voer de SAML-assertietijd in seconden in.
    Handtekening voor aanvraag Voer het publieke ondertekeningscertificaat in als u wilt dat de serviceprovider de aanvraag ondertekent die naar Workspace ONE wordt verzonden.
    Encryptiecertificaat Voer het publieke encryptiecertificaat in als u de SAML-aanvraag van de applicatieserviceaanbieder, die naar Workspace ONE wordt verzonden, ondertekend wilt hebben.
    Inlog-URL voor applicatie Voer de URL van de inlogpagina van uw serviceprovider in. Met deze optie zal de serviceprovider een aanmelding bij Workspace ONE initiëren. Bij sommige serviceproviders moet de verificatie vanaf hun inlogpagina worden gestart.
    Aantal proxy's Voer het maximumaantal proxy's tussen de serviceprovider en een identiteitsprovider voor verificatie in.
    API-toegang API-toegang tot deze applicatie toestaan.
  8. Configureer Toewijzing van aangepaste eigenschappen. Als uw serviceprovider andere aangepaste eigenschappen dan die voor eenmalige aanmelding (SSO) toestaat, voegt u deze toe.
  9. Selecteer In VMware Browser openen als u de applicatie in de VMware Browser wilt openen. Het is echter vereist dat Workspace ONE de applicatie opent in de VMware Browser. Het openen van SaaS-applicaties in de VMware Browser zorgt voor extra beveiliging. Zo blijft de veiligheid van interne resources gewaarborgd.
  10. Klik op Volgende.
  11. Selecteer het toegangsbeleid om het inloggen bij applicatieresources te beveiligen. Klik op Volgende om de pagina Samenvatting weer te geven.
  12. Klik op Opslaan. Als u tijdens het configureren van de applicatiebron Opslaan en Toewijzen selecteert, stelt u de rechten voor de applicatiebron in op Alle gebruikers. U kunt echter de standaardinstellingen wijzigen en de gebruikersrechten beheren en gebruikers of gebruikersgroepen toevoegen.
    1. Nadat de identiteitsprovider als een toepassingsbron is geconfigureerd, kunt u de bijbehorende applicaties creëren voor iedere externe identiteitsprovider. Nadat u de opties op het tabblad Definitie hebt ingevuld, kunt u OKTA selecteren in het vervolgkeuzemenu Verificatietype op het tabblad Configuratie.
    2. U kunt de rechten voor de toepassingsbron instellen op Alle gebruikers of Gebruikers/gebruikersgroep toevoegen. Als u tijdens het configureren van de toepassingsbron Opslaan en toewijzen selecteert, dan stelt u standaard de rechten voor de toepassingsbron in op Alle gebruikers.