Соединитель Workspace ONE Access Connector 23.09 может выполнять криптографические операции с помощью алгоритмов, соответствующих стандарту FIPS (Федеральный стандарт обработки информации) 140-2. Чтобы использовать эти алгоритмы, нужно установить соединитель Workspace ONE Access Connector 23.09 в режиме FIPS или обновить соединитель версии 22.05 или 22.09, установленный в режиме FIPS, до версии 23.09.

Федеральный стандарт обработки информации (FIPS) 140-2 — это государственный стандарт США и Канады, определяющий требования к безопасности для криптографических модулей. См. страницу с информацией о Федеральном стандарте обработки информации (FIPS) для VMware.

Workspace ONE Access Connector не поддерживает обновление или миграцию с установки без режима FIPS на установку с FIPS или наоборот. Все версии соединителя, предшествующие версии 22.05, являлись установками без FIPS.

Важно!:
  • Соединитель Workspace ONE Access Connector в режиме FIPS поддерживается только для арендаторов Workspace ONE Access FedRAMP. Другие типы арендаторов и локальные установки Workspace ONE Access не поддерживают соединитель в режиме FIPS.
  • Служба виртуальных приложений не поддерживает режим FIPS. Соединители Workspace ONE Access Connector с включенным режимом FIPS не поддерживают интеграцию с Citrix, Horizon, Horizon Cloud Service в Microsoft Azure с функцией брокера для отдельных модулей, Horizon Cloud Service в IBM Cloud или ThinApp. Соединитель Workspace ONE Access Connector с включенным режимом FIPS поддерживает интеграцию виртуальных приложений, которые работают в Horizon Cloud Service в Microsoft Azure с Universal Broker.

Установка Workspace ONE Access Connector в режиме FIPS

Чтобы активировать режим FIPS для Workspace ONE Access Connector, во время установки необходимо установить флажок FIPS.


На странице «Указать файл конфигурации» установщика соединителя выбран параметр «Включить FIPS».
Важно!:
  • После установки перейти из режима FIPS в режим без FIPS или наоборот будет нельзя. Прежде чем начать установку, ознакомьтесь с требованиями и предварительными условиями и решите, нужно ли включить FIPS.
  • Необходимо иметь в виду, что установку с FIPS можно обновить только до установки с FIPS, а установку без FIPS можно обновить только до установки без FIPS.

Требования и предварительные условия для режима FIPS

Для соединителя в режиме FIPS применяются следующие требования и предварительные условия.

  • Убедитесь, что все экземпляры соединителя устанавливаются в режиме FIPS. Все экземпляры соединителя, связанные с арендатором Workspace ONE Access, должны работать в режиме FIPS, или они должны все работать в режиме без FIPS, независимо от того, какие корпоративные службы в них установлены. Не развертывайте одни экземпляры соединителя в режиме FIPS, а другие — в режиме без FIPS.
  • Для каталогов типа Active Directory со встроенной проверкой подлинности Windows (IWA):
    • Чтобы создать каталог типа Active Directory с IWA в Workspace ONE Access, минимальная длина пароля пользователя с привязкой DN должна составлять 14 символов.
    • Минимальная длина пароля в 14 символов также применяется ко всем синхронизированным пользователям в каталоге IWA.
    • Если используется атрибут sAMAccountName, длина имени sAMAccountName и имени домена пользователя должна быть не менее 16 символов.
  • Для функции «Изменить пароль» для Active Directory:
    • Для функции «Изменить пароль» для Active Directory применительно к паролям конечных пользователей требуется минимальная длина 14 символов.

      Существующие пароли должны соответствовать этому требованию. Пользователи не смогут изменить свои пароли на портале или в приложении Intelligent Hub, если их существующий пароль содержит менее 14 символов.

      Новые пароли также должны соответствовать этому требованию. Минимальное значение в 14 символов не требуется при создании нового пароля из приложения или на портале Intelligent Hub. Однако, если длина нового пароля не составляет хотя бы 14 символов, пользователь не сможет изменить пароль еще раз. Кроме того, если пользователь относится к каталогу типа Active Directory со встроенной проверкой подлинности Windows , он не сможет войти в приложение или на портал Intelligent Hub с новым паролем.

    • Если используется атрибут sAMAccountName, длина имени sAMAccountName и имени домена пользователя должна быть не менее 16 символов.
  • Если настроено подключение к Active Directory с установленным флажком Для всех подключений требуется STARTTLS или Для всех подключений требуется LDAPS, контроллеры домена должны иметь действительные сертификаты с подписью общедоступного центра сертификации.

Эти предварительные условия рекомендуется выполнить перед установкой соединителя Workspace ONE Access Connector в режиме FIPS.