Pré-requisitos

Configuração do Workspace ONE Access

1. Crie utilizadores e grupos. Associe os utilizadores ao grupo.

   

   

2. Aceda a Catálogo (Catalog) > Aplicações Web (Web Apps).
3. Clique em Novo (New) para adicionar uma Nova aplicação (New Application).
4. Dê um nome à aplicação, como VMware CWS, e clique em Seguinte (Next).

   

5. Na secção Configuração (Configuration):
   1. Introduza os dados seguintes para o início de sessão único:
      • Tipo de autenticação: SAML 2.0
      • Configuração: Manual
      • URL do início de sessão único: https://safe-cws-sase.vmware.com/safeview-auth-server/saml
      • URL do destinatário: https://safe-cws-sase.vmware.com/safeview-auth-server/saml
      • ID da aplicação: https://safe-cws-sase.vmware.com/safeview-auth-server/saml/metadata
      • Formato do nome de utilizador: endereço de e-mail ([email protected])
      • Valor do nome de utilizador: ${user.email}

      

      

   2. Clique em Propriedades avançadas (Advanced Properties) e adicione um Mapeamento de atributo do cliente (Custom Attribute Mapping) conforme indicado abaixo. Esta configuração serve para enviar o atributo de grupos na asserção SAML.
      Nota: O nome tem de ser “grupos” e o valor é ${groupNames}.

      

   3. Clique em Seguinte (Next).
6. Na página Políticas de acesso (Access Policies), a opção “default_access_policy_set” é selecionada automaticamente.

   

7. Clique em Seguinte (Next) e em Guardar e atribuir (Save and Assign).

   

8. Em Catálogo (Catalog) > Aplicações Web (Web Apps) >, clique em Definições (Settings).

   

9. Na janela Definições (Settings), aceda à secção Metadados SAML (SAML Metadata).

   

10. Clique em Metadados do fornecedor de identidade (IdP) (Identity Provider [IdP] metadata). Esta ação abre uma nova janela no browser com os dados XML. Copie o URL “entityID” e “Location” para um bloco de notas.

    

    • entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
    • Localização: https://<ws1access_server>/SAAS/auth/federation/sso

      em que <ws1access-server> é o servidor do Workspace ONE Access no ambiente.

11. Regresse à janela Definições (Settings) e copie o conteúdo do Certificado de assinatura (Signing Certificate) para o bloco de notas.

    

12. Atribua grupos de utilizadores à aplicação Web VMware CWS.

    

    

Configuração do VMware Cloud Orchestrator

1. Inicie sessão na nova IU do Orchestrator.
2. Aceda a Cloud Web Security > Configurar (Configure) > Configurações de empresa (Enterprise Settings) > Fornecedor de identidade (Identity Provider). A página Definições do fornecedor de identidade (Identity Provider Settings) é apresentada.
3. Defina Início de sessão único (Single Sign On) como Ativado (Enabled).

   

4. Configure o seguinte:
   • Para Servidor SAML acessível pela Internet (SAML Server Internet Accessible) selecione Sim (Yes)
   • Para Fornecedor SAML (SAML Provider) selecione Workspace ONE Access
   • Para Ponto final SAML 2.0 (SAML 2.0 Endpoint), copie o URL de Localização (Location) do bloco de notas. Por exemplo, Localização (Location): https://<ws1access_server>/SAAS/auth/federation/sso
   • Para Identificador do serviço (emissor) (Service Identifier [Issuer]), copie o URL entityID do bloco de notas. Por exemplo, entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
   • Certificado X.509, clique em Adicionar certificado (Add Certificate) e copie o certificado do bloco de notas e cole aqui.
   • Clique em Guardar alterações (Save Changes)

   

5. Adicione uma regra para ignorar o SSL para o domínio Workspace ONE Access.
   1. Navegue para Cloud Web Security > Configurar (Configure) > Políticas de segurança (Security Policies).
   2. Selecione uma política existente para adicionar a regra para ignorar o SSL e clique no botão Editar (Edit).
   3. Clique no separador Inspeção SSL (SSL Inspection) e em + Adicionar regra (+ Add Rule). É apresentado o ecrã Criar exceção SSL (Create SSL Exception).
   4. No ecrã Criar exceção SSL (Create SSL Exception), configure o seguinte e clique em Seguinte (Next):
      • Para Ignorar Inspeção SSL com base em (Skip SSL Inspection based on), selecione Destino (Destination).
      • Para Tipo de destino (Destination Type), selecione Anfitrião/domínio de destino (Destination Host/Domain).
      • Em Domínio (Domain), introduza vidmpreview.com.

        

   5. No ecrã Nome e etiquetas (Name and Tags), introduza um nome exclusivo para a regra e adicione um motivo, se necessário.

      

   6. Clique em Concluir (Finish) e, em seguida, em Publicar (Publish) a política de segurança aplicável para aplicar esta nova regra.
   Importante: O domínio vidmpreview.com faz parte do par de domínios Workspace ONE, conforme presente no documento: Domínios e CIDRs em que uma regra Ignorar Inspeção SSL é recomendada. Se já tiver configurado uma regra para ignorar o SSL que inclua ambos os domínios Workspace ONE, poderá ignorar este passo. Se tentar configurar a regra acima e já tiver o conjunto de domínios do Workspace ONE incluído numa regra para ignorar o SSL existente, a nova regra causará um erro, pois apenas uma instância de domínio para ignorar SSL é permitida ou necessária por empresa cliente.

   Para obter mais informações sobre os domínios que devem ter regras configuradas para ignorar o SSL, consulte Domínios e CIDRs em que uma regra Ignorar Inspeção SSL é recomendada.

Verificar a configuração

A verificação da configuração pode ser efetuada utilizando uma ou mais regras de política Web baseadas em grupo no Cloud Web Security. Por exemplo, utilizando a Filtragem de URL e bloqueando Twitter.com.

Adicione os grupos a considerar para a regra de Filtragem de URL.

Verifique os registos Web em Cloud Web Security > Monitorizar (Monitor) > Registos Web (Web Logs)