Поддержка проверки подлинности с секретными ключами

Мы рады сообщить о доступности секретных ключей для проверки подлинности в Workspace ONE Access.

Секретные ключи — это обнаруживаемые учетные данные FIDO, созданные на основе стандарта WebAuthn. Секретные ключи дают возможность проверки подлинности без пароля и обеспечивают пользователям более быстрый, удобный и безопасный вход на всех устройствах. Секретные ключи имеют широкую поддержку в отрасли и предлагают жизнеспособную альтернативу паролям, устойчивую к фишингу.

Секретные ключи упрощают проверку подлинности FIDO2, синхронизируя данные регистрации FIDO на устройствах пользователя. Поддержка секретных ключей доступна на всех устройствах, включая iOS, Mac, Windows и Android, а также все основные браузеры. Администраторы могут продолжать настраивать FIDO2 в качестве метода проверки подлинности в Workspace ONE Access и использовать преимущества секретных ключей.

Секретные ключи используют криптографию открытого ключа и имеют две части: открытый ключ на сервере, на который пользователь выполняет вход, и соответствующий закрытый ключ на устройствах пользователей. Открытый ключ синхронизируется между устройствами с общим входом, например профилями браузера Chrome или идентификатором Apple ID. Когда пользователь входит в систему, Workspace ONE Access инициирует процесс WebAuthn, который запускает биометрическую проверку подлинности устройства или PIN-код для проверки подлинности пользователя и проверяет, совпадает ли открытый ключ пользователя с соответствующим закрытым ключом. Пользовательский опыт соответствует типовой разблокировке устройства, которая знакома пользователю. Пользователь войдет в учетную запись; при этом закрытый ключ и биометрические данные останутся в безопасности на устройстве и никогда не будут переданы общей доступу.

Поддержка общедоступных клиентов PKCE и OAuth 2.0

PKCE (Proof Key для Code Exchange) — расширение потока кода авторизации OAuth 2.0, которое помогает защитить маркеры OAuth от атак CSRF и внедрения кода. Общедоступные клиенты OAuth 2.0, использующие параметр «Предоставление кода авторизации», подвержены атакам перехвата кода авторизации. Пути связи, не защищенные TLS, подвержены данной атаке. Злоумышленник может получить доступ к коду авторизации и использовать его для получения маркера доступа.

Расширение PKCE использует динамически создаваемый криптографический случайный ключ для обеспечения подтверждения владения клиентом. Workspace ONE Access поддерживает включение PKCE для общедоступных клиентов OAuth 2.0 и клиентов, участвующих в потоке кода авторизации. Помимо поддержки PKCE, в Workspace ONE Access теперь поддерживается создание общедоступных клиентов OAuth 2.0. Общедоступные клиенты полезны для приложений, запущенных в браузере или на мобильном устройстве, которые не могут защитить секретные ключи своего зарегистрированного клиента.

PKCE включено по умолчанию и является обязательным для всех общедоступных клиентов, созданных в Workspace ONE Access.

Пользователь выбирает проверку подлинности

Мы рады сообщить о доступности выбора функции проверки подлинности для пользователей с Workspace ONE Access. Эта новая функция предоставляет пользователям гибкие возможности выбора из набора вариантов проверки подлинности, доступных им для второго фактора проверки подлинности.

Эта функция особенно полезна в сценариях, когда пользователи могут не иметь доступа к варианту второго фактора проверки подлинности, например к смартфону для получения push-уведомлений. В таких случаях пользователи могут легко выбрать альтернативный метод из представленных вариантов, чтобы успешно завершить последовательность входа.

Администраторы настраивают политики, чтобы управлять доступностью различных вариантов проверки подлинности, отвечающих конкретным требованиям к проверке подлинности. Кроме того, чтобы обеспечить безопасность и настраиваемую проверку подлинности конечных пользователей, можно настроить параметры условного доступа, такие как сетевой диапазон, спецификации устройств, состояние управления устройством или группы пользователей.

Эта функция доступна только в Workspace ONE Access SaaS. 

Поддержка пакета SDK Duo v4 с помощью универсального запроса Duo

Workspace ONE Access теперь поддерживает пакет SDK Duo v4. Duo v4 поддерживает новый универсальный запрос Duo, который обеспечивает упрощенный и доступный вход в систему для веб-приложений, предлагая переработанный визуальный интерфейс с улучшениями безопасности и удобства использования. Пользователи Workspace ONE Access автоматически переносятся от традиционного запроса Duo к универсальному запросу Duo после вступления этой поддержки в силу. Для включения этого изменения не требуется никаких действий администратора.

Поддержка Horizon Client и запуска приложений из ярлыков

Workspace ONE Access теперь предоставляет возможность перезапуска опубликованных виртуальных компьютеров и приложений Horizon с помощью ярлыков, использующих URL-адреса запуска. До этого выпуска при запуске ярлыка, указывающего на Horizon Client или приложение, пользователи перенаправлялись на пустой экран, блокировавший запуск клиента или приложения. В этом обновлении пользователю предоставляются сведения о приложении и возможность запуска. 

Соединитель Workspace ONE Access Connector версии 23.09

Соединитель Workspace ONE Access Connector версии 23.09 совместим с облачной версией Workspace ONE Access, Workspace ONE Access On-premise 23.09 и Workspace ONE Access для FedRAMP.

Ниже приведен список устраненных проблем в соединителе Connector.

• HW-180874. Настройка клиента для запуска по умолчанию для коллекций виртуальных приложений Horizon игнорируется.

• HW-170798. Не удается синхронизировать коллекции виртуальных приложений Horizon Enterprise при использовании подключения через прокси-сервер.

• HW-174051. При обновлении коллекции виртуальных приложений сбрасывается сетевой диапазон.

• HW-172671. Не удается запустить приложение Citrix в браузере Firefox.

• HW-171435. Не удается запустить приложение Citrix, если первый соединитель в коллекции виртуальных приложений отключен.

• HW-170576. Не удается синхронизировать коллекции виртуальных приложений при использовании подключения через прокси-сервер.

• HW-174269. Не удается установить Workspace ONE Access Connector 22.09.1, если имя домена содержит символ «_».

• HW-181989. При сохранении или синхронизации коллекции виртуальных приложений Horizon, когда сервер Horizon отключен, удаляются существующие метаданные.

• HW-170576. При настройке прокси-сервера службе виртуальных приложений не удается извлечь метаданные из настроек брокера для отдельных модулей Horizon Cloud Service.

Объявление о всеобщей доступности проверки подлинности с помощью единого входа для мобильных устройств Apple

Мы рады сообщить о всеобщей доступности проверки подлинности с помощью единого входа для мобильных устройств Apple — функции единого входа для мобильных устройств следующего поколения в Workspace ONE Access.

В рамках спецификаций SDK и MDM для iOS 13 компания Apple представила новое расширение для единого входа на разных платформах, предлагающее встроенное решение для единого входа с использованием стандартных протоколов федерации. Единый вход для мобильных устройств Apple в Workspace ONE Access использует этот встроенный комплект SDK расширения для единого входа от Apple.

Помимо обеспечения плавного единого входа на устройствах iOS и iPadOS, единый вход для мобильных устройств Apple в Workspace ONE Access предлагает настраиваемую биометрическую проверку подлинности, которая позволяет использовать встроенные средства биометрической проверки подлинности, такие как Touch ID, Face ID или код-пароль, для дополнительной проверки подлинности перед доступом к приложениям.

Проверка подлинности с помощью единого входа для мобильных устройств Apple предусматривает возможность ограничения единого входа выбранными приложениями. Решение использует проверку подлинности в Workspace ONE Access на основе сертификатов, а также поддерживает примеры использования, предусматривающие взятие/возврат общих устройств iOS с Workspace ONE.

ПРИМЕЧАНИЕ. На устройствах, использующихся для единого входа, необходимо установить Workspace ONE Intelligent Hub.

Единый вход для мобильных устройств Apple заменяет единый вход для мобильных устройств iOS, который доступен в Workspace ONE Access в настоящее время. Однако оба решения могут сосуществовать в рамках конфигурации миграции. Рекомендуется постепенная миграция с единого входа для мобильных устройств iOS на единый вход для мобильных устройств Apple. Инструкции по миграции приведены здесь.

Эта функция доступна только в облачной среде Workspace ONE Access.

Поддержка устройств с Windows 11 в правилах политики Workspace ONE Access

Workspace ONE Access теперь распознает устройства с Windows 11 для регистрации и условного доступа. Политики доступа с установленным для типа устройств значением «Windows 10» не применялись к устройствам с Windows 11 до появления этой поддержки. В этом обновлении для устройств с Windows 10 и Windows 11 будут применяться правила типа устройств Windows 10+. Эта возможность поддерживается на всех устройствах с Windows 11, в том числе на настольных компьютерах и мобильных устройствах.

Теперь Workspace ONE Access поддерживает средство FIDO2 в качестве основного средства проверки подлинности

Теперь в Workspace ONE Access можно настроить средства проверки подлинности FIDO2 в качестве основного средства проверки подлинности. Ранее поддержка средства проверки подлинности FIDO2 ограничивалась проверкой подлинности повышенного уровня. В этом выпуске конечные пользователи могут выполнять проверку подлинности в Workspace ONE Access с помощью средства проверки подлинности FIDO2. Конечные пользователи также могут самостоятельно зарегистрировать средство проверки подлинности FIDO2. Поддерживаются как платформенные средства проверки подлинности (мобильные устройства, ноутбуки и другие устройства, поддерживающие FIDO2), так и сторонние средства проверки подлинности (ключи Yubikey, USB-устройства безопасности и т. п.).

Прекращение поддержки неподдерживаемых соединителей VMware Identity Manager Connector

В этом выпуске облачной версии Workspace ONE Access поддержка всех функциональных возможностей неподдерживаемых соединителей будет прекращена во всех средах. Чтобы продолжить работу всех компонентов, необходимо использовать поддерживаемую версию соединителя Workspace ONE Access Connector.

В средах, в которых запущены неподдерживаемые соединители, в связи с этим изменением перестанут поддерживаться следующие возможности.

1. Интеграция каталогов Active Directory и других поддерживаемых серверов LDAP

2. Изменение паролей для пользователей Active Directory

3. Проверка подлинности пользователей с помощью методов проверки подлинности на основе соединителя

4. Интеграция коллекций виртуальных приложений, включая запуск 

Дополнительные сведения см. в статье базы знаний VMware.

Обновлен интерфейс отчетов Workspace ONE Access в консоли Workspace ONE Access

Модуль отчетов Workspace ONE Access получил обновленный внешний вид для пользователей с правами администраторов. Этот новый дизайн современен и позволяет легко переходить между следующими отчетами.

• Последние действия

• Использование ресурса

• Права ресурсов

• Действия с ресурсами

• Членство в группах

• Пользователи

• Использование устройств

• Состояние инициализации

• События аудита

Действия можно с легкостью перенастраивать на новой странице настройки роли в консоли Workspace ONE Access

Новая навигация для настройки ролей позволяет добавлять, перенастраивать и удалять все действия для службы. Роли можно настраивать с помощью определенных действий для каждой службы любым образом. Пользователи, которые могут управлять ролями администратора, также смогут удалить любое или все действия, настроенные для службы.

Уменьшение функциональных возможностей неподдерживаемых соединителей VMware Identity Manager Connector

В выпуске Workspace ONE Access Cloud за март любая среда, в которой используются неподдерживаемые соединители, больше не может создавать, изменять или удалять каталоги. Чтобы продолжить работу всех компонентов, необходимо использовать поддерживаемую версию соединителя Workspace ONE Access Connector. Всем клиентам настоятельно рекомендуется как можно скорее выполнить перенос на соединитель последней версии.

Возможность синхронизации уже существующих каталогов будет по-прежнему работать как при запланированной синхронизации, так и при синхронизации по требованию. Дополнительные сведения см. в статье https://kb.vmware.com/s/article/90808.

Обновлены страницы навигации Workspace ONE Access

В консоль Workspace ONE Access добавляются новые страницы навигации, которые были обновлены с использованием обновленного проекта. Были обновлены следующие страницы.

• Страница «Интеграция UEM»

• Страница каталога

• Страница поставщика удостоверений

Страницы «Автоматическое обнаружение» и «Условия использования» удалены, так как они связаны с приложением Workspace ONE, достигшим завершения жизненного цикла. Сведения о завершении жизненного цикла приложения Workspace ONE приведены в информации о версии за апрель 2022 г.

Новая функция отображения пароля на экране входа

На экране входа добавлен новый переключатель, который позволяет пользователям отображать пароль при запросе входа и проверки подлинности во время использования служб Workspace ONE Access. Эта новая функция будет доступна на экранах проверки подлинности с помощью пароля.

Workspace ONE Access теперь поддерживает проверку подлинности FIDO2 в браузерах для мобильных устройств.

Теперь в Workspace ONE Access можно зарегистрировать средства проверки подлинности FIDO2 и использовать их для проверки подлинности в браузерах для мобильных устройств. Ранее регистрацию и проверку подлинности FIDO2 поддерживали только браузеры для настольных компьютеров. В этом выпуске конечные пользователи могут выполнять проверку подлинности при входе в федеративные приложения Workspace ONE Access с помощью средства проверки подлинности FIDO2 (например, YubiKey, Touch ID, Windows Hello и т. д.) в браузерах для мобильных устройств или настольных компьютеров. Конечные пользователи также могут самостоятельно зарегистрировать средство проверки подлинности FIDO2 для использования в качестве основного или дополнительного метода проверки подлинности.

Начало работы с VMware Identity Services

Если вы только начинаете работать с Workspace ONE Access и Workspace ONE UEM, воспользуйтесь новой службой, которая упрощает инициализацию пользователей и создание федераций. Теперь можно использовать VMware Identity Services для настройки подготовленного каталога пользователей и групп с помощью протокола SCIM 2.0 в облачной консоли администрирования Workspace ONE. Службы VMware Identity Services автоматически подготовят пользователей и группы, а также параметры проверки подлинности в консоли администрирования Workspace ONE UEM и Workspace ONE Access. 

Поддерживаемые поставщики удостоверений и источники каталогов:

• Azure AD, облачная служба удостоверений в Microsoft Azure

• Универсальный источник удостоверений SCIM 2.0 (протестирован для Okta)

Дополнительные сведения см. в Информации о версии VMware Identity Services.

Совместимость компонентов

Поддерживаемые версии Windows Server

Workspace ONE Access Connector 23.09 поддерживает указанные ниже версии.

• Windows Server 2022

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2

Поддерживаемые веб-браузеры

• Mozilla Firefox (новейшая версия)

• Google Chrome (новейшая версия)

• Safari (новейшая версия)

• Microsoft Edge (новейшая версия)

Поддерживаемые серверы каталогов

• Active Directory на сервере Windows Server 2022, Windows Server 2019, Windows Server 2016 или Windows Server 2012 R2. На функциональном уровне домена и леса поддерживается Windows 2003 или более новые версии этой ОС.

• OpenLDAP — 2.4

• Oracle LDAP — Directory Server Enterprise Edition 11g, выпуск 1 (11.1.1.7.0)

• IBM Tivoli Directory Server 6.3.1

Совместимость виртуальных приложений

Соединитель Workspace ONE Access Connector 23.09 поддерживает интеграции VMware Horizon, Horizon Cloud Service, Citrix и ThinApp со службой виртуальных приложений.

Поддерживаются следующие версии Citrix: Citrix Virtual Apps and Desktops 7 2203, Citrix Virtual Apps and Desktops 7 1912 LTSR, XenApp и XenDesktop 7.15 LTSR, XenApp и XenDesktop 7.6 LTSR. Поддерживаются следующие версии Citrix Gateway: 12.1-62.27, 12.1-65.25 и 13.1-37.38. Соединитель поддерживает API-интерфейс Citrix StoreFront и не поддерживает SDK веб-интерфейса Citrix.

Дополнительные сведения о поддерживаемых версиях Horizon см. в таблицах совместимости продуктов VMware.

Таблица совместимости

Таблица совместимости продуктов VMware содержит подробную информацию о совместимости текущих и предыдущих версий продуктов и компонентов VMware, в том числе VMware vCenter Server, VMware ThinApp и Horizon.

Обновление соединителя VMware Workspace ONE Access Connector до версии 23.09 (Windows)

Обновление соединителя Workspace ONE Access Connector до версии 23.09 поддерживается для версий 22.09.1.0, 22.09.0.0, 22.05, 21.08.0.1 и 21.08.0.0.

Дополнительные сведения см. в руководстве Обновление соединителя VMware Workspace ONE Access Connector до версии 23.09.

Миграция в соединитель Workspace ONE Access Connector версии 23.09 (Windows)

Можно выполнить перенос на Workspace ONE Access Connector 22.09.1.0 с использованием тех же версий, которые поддерживаются для 22.09.0.0

Из Workspace ONE Access Connector версии 19.03.x доступен путь переноса в версию 22.09. Процесс включает установку новых соединителей Connector 22.09 и перенос существующих каталогов, а также коллекций виртуальных приложений в новые соединители. Перенос — это одноразовый процесс, при этом необходимо перенести каталоги и коллекции виртуальных приложений вместе.

После завершения переноса Integration Broker для интеграции Citrix больше не требуется. Требуемые функции теперь являются частью компонента службы виртуальных приложений соединителя Workspace ONE Access Connector.

Дополнительные сведения см. в руководстве Перенос в VMware Workspace ONE Access Connector 22.09.

После миграции устаревших соединителей в версию 22.09 их можно обновить до версии 23.09.

Документация по VMware Workspace ONE Access находится в центре документации по VMware Workspace ONE Access.

Приложение VMware Workspace ONE Access доступно на следующих языках.

• Английский

• Французский

• Немецкий

• Испанский

• Японский

• Китайский (упрощенное письмо)

• Корейский

• Китайский (традиционное письмо)

• Русский

• Итальянский

• Португальский (Бразилия)

• Нидерландский

Обращайтесь в службу поддержки VMware, если вам нужна помощь в среде Workspace ONE Access. Запрос на поддержку можно отправить в службу поддержки VMware с помощью учетной записи VMware Customer Connect или по телефону.

В статье базы знаний 2151511 Как обратиться в службу поддержки VMware Workspace ONE описано обращение в службу поддержки Workspace ONE.