A seguir são apresentados os pré-requisitos para a configuração do Proxy Web do Cloud Web Security.

Certificado SSL

Quando os utilizadores se ligam pela primeira vez ao Proxy Web, abrem normalmente o browser e navegam para um site, por exemplo, um site HTTPS. O Proxy Web executa uma interceção SSL deste tráfego e executa um redirecionamento para o serviço de autenticação. Assim, é recomendável ter o certificado de raiz VMware instalado no ponto final em vez de instruir os utilizadores a aceitarem o aviso de segurança.

Para obter o certificado de raiz e instalá-lo num anfitrião, execute os passos seguintes:
  1. Abra um browser e navegue para VMware Cloud Orchestrator.
  2. Na barra de navegação superior, aceda a Aplicações empresariais (Enterprise Applications) > Cloud Web Security.
  3. Clique no separador Configurar (Configure) e, em Configurações de empresa (Enterprise Settings), selecione Certificado SSL (SSL Certificate). É apresentado o ecrã Definições de Certificado SSL (SSL Certificate Settings).
  4. Clique em Transferir certificado (Download Certificate) e guarde o ficheiro no computador anfitrião.
  5. (Opcional) Utilize um utilitário, como o OpenSSL, para verificar se o certificado de raiz transferido não foi adulterado durante a transmissão. Isso é efetuado calculando a impressão digital do certificado e comparando com o que é apresentado no Orchestrator. Para fins de teste, este passo pode ser opcional, mas em ambientes de produção, não deve ser ignorado.

    A seguir são apresentados os comandos OpenSSL para calcular a impressão digital do certificado:

    $openssl x509 -noout -fingerprint -sha1 -inform pem -in certificate.cer 
$openssl x509 -noout -fingerprint -sha256 -inform pem -in certificate.cer
    Figura 1. Comandos OpenSSL no Terminal
    Figura 2. Certificado SSL SHA1, Impressões digitais SHA256
Instalação nos anfitriões

As ligações externas seguintes fornecem instruções sobre como instalar um certificado de raiz privado em dispositivos de ponto final comuns:

Alternativamente, pode ser instalado um certificado de raiz ao nível do browser. Isto é útil para fins de teste, mas não é recomendado para uma utilização de produção. As ligações externas seguintes fornecem instruções sobre como instalar um certificado de raiz privado em browsers Web populares:

Fornecedor SAML (SAML Provider)

É necessário um fornecedor SAML para autenticar os utilizadores no serviço de Proxy do Cloud Web Security. Este requisito garante que apenas utilizadores autenticados são ligados ao Cloud Web Security e fornece informações operacionais sobre a atividade daqueles que utilizam o Proxy Web.

O exemplo seguinte baseia-se na utilização do Okta como fornecedor de identidade (IdP) para o Cloud Web Security. A seguinte captura de ecrã destaca as três informações principais que são utilizadas após a criação de uma aplicação personalizada no Okta para o Cloud Web Security para ativar a integração.
Figura 3. Configuração do Okta para integração VMware
  • Localização (Location) – Este é o URL de Início de sessão único (SSO) fornecido pelo IdP para a aplicação SAML definida. Neste caso, essa aplicação é o Cloud Web Security.
  • EntityID – O EntityID ou “Emissor” faz parte do processo de verificação para validar o IdP.
  • Certificado (Certificate) – Este é o certificado x.509 que o IdP utiliza para autenticar e autorizar o serviço SAML.

Ativar o Início de sessão único (SSO)

Para integrar um IdP e configurar informações de IdP no CWS, execute os seguintes passos:
  1. Navegue para Cloud Web Security > Configurar (Configure) > Configurações de empresa (Enterprise Settings) > Fornecedor de identidade (Identity Provider). É apresentado o ecrã seguinte.
  2. Ative o botão Início de sessão único (Single Sign On) e introduza os seguintes dados:
    Campo Descrição
    Servidor SAML acessível pela Internet (SAML Server Internet Accessible) Selecione Sim (Yes) para aceder ao servidor SAML acessível pela Internet.
    Fornecedor SAML (SAML Provider) Selecione Okta na lista.
    Ponto final SAML 2.0 (SAML 2.0 Endpoint) Copie e cole as informações da Localização (Location) do IdP.
    Identificador do serviço (emissor) (Service Identifier [Issuer])

    Copie e cole as informações de EntityID do IdP.

    Domínio (Domain) Introduza o domínio da sua empresa (por exemplo, vmware.com).
    Nota: Os utilizadores realizam a autenticação do serviço com o endereço de e-mail. O domínio de e-mail do utilizador tem de corresponder ao que está configurado aqui.
    Ativar depuração verbosa SAML (Enable SAML Verbose Debugging) Selecione Sim (Yes) ou Não (No) se desejar ativar ou não a depuração verbosa SAML. Por predefinição, a depuração SAML está desativada, exceto se resolver problemas de início de sessão SAML.
  3. Após definir os atributos acima, certifique-se de que guarda as alterações clicando no botão Guardar alterações (Save Changes).
  4. Clique no botão Editar certificado (Edit Certificate) para configurar as informações do certificado IdP no CWS. A janela pop-up Detalhe do certificado (Certificate Detail) é apresentada.
  5. Na secção Mostrar certificado (Show Certificate), cole as informações do certificado copiadas do IdP e clique em Guardar (Save).
  6. Após configurar todas as informações de IdP necessárias, clique em Guardar alterações (Save Changes).