Настройки включают функции, которые применяются ко всем приложениям SaaS в вашей среде Workspace ONE. Управляйте доступом с помощью настроек для проверки подлинности SAML и необходимых утверждений.

Настройте приложения SaaS, чтобы пользователи могли получить доступ к ним только после утверждения. При наличии приложений SaaS, использующих для доступа лицензии, с помощью этой функции можно управлять активациями. При включении утверждений настройте параметр Требуется подтверждение лицензии в соответствующих записях приложений SaaS.

  • Порядок подтверждения — пользователи видят приложение в своем каталоге Workspace ONE и могут запросить право на его использование. Workspace ONE Access отправляет сообщение с запросом на URL-адрес конечной точки подтверждения REST, настроенный для организации. Система изучает запрос и отправляет сообщение об утверждении или отказе Workspace ONE Access. Если приложение утверждено, его статус меняется с Ожидает рассмотрения на Добавлено и приложение отображается на странице средства запуска Workspace ONE пользователя.
  • Механизмы подтверждения — система предлагает два механизма подтверждения.
    • REST API — механизм утверждения использует внешнее средство, которое выполняет запрос и отклики с помощью API REST веб-сервера. Введите URL-адрес REST API в службе Workspace ONE Access и настройте параметры API-интерфейсов REST, указав значения учетных данных клиента OAuth Workspace ONE Access, запрос обратного вызова и действие отклика.
    • REST API через соединитель — этот механизм отправляет обратные вызовы через соединитель по каналу связи на базе Websocket. Можно настроить параметры конечной точки REST API, указав запрос обратного вызова и действие отклика.

Метаданные SAML и самозаверяющие сертификаты или сертификаты ЦС

Вы можете использовать SAML-сертификаты со страницы Настройки в системах аутентификации (например, единый вход на мобильных устройствах). Служба Workspace ONE Access автоматически создает самозаверенный сертификат для подписи SAML. Однако некоторые организации требуют сертификаты центров сертификации (ЦС). Чтобы запросить сертификат из своего ЦС, создайте запрос подписи сертификата на странице Настройки. Для аутентификации пользователей в приложениях SaaS можно использовать любой из этих сертификатов.

Отправьте сертификат в необходимые приложения, чтобы настроить аутентификацию между приложением и системой Workspace ONE.

Чтобы выполнять проверку подлинности пользователей в Workspace ONE Access, можно добавить сторонних поставщиков удостоверений. Чтобы настроить экземпляр поставщика, используйте метаданные поставщиков удостоверений и услуг, скопированные из раздела Настройки в консоли AirWatch. Подробнее о настройке сторонних поставщиков см. в разделе Настройка экземпляра стороннего поставщика удостоверений для проверки подлинности пользователей в Workspace ONE Access.

Источник своего приложения можно настроить, выбрав соответствующего стороннего поставщика удостоверений. После настройки источника приложения можно создать связанные приложения.

Настройка утверждений для приложений SaaS

Используйте утверждения для приложений SaaS, которые активируют лицензии для использования. Если эта функция включена с параметром Требуется подтверждение лицензии, пользователи запрашивают доступ к соответствующим приложениям SaaS из каталога Workspace ONE, прежде чем устанавливать и активировать лицензию.

  1. Перейдите в раздел Ресурсы > Приложения > SaaS и выберите Настройки.
  2. Выберите Утверждения.
  3. Нажмите Да, чтобы включить функцию.
  4. Выберите Механизм утверждения, который система должна использовать для запроса утверждений.
  5. Введите код URI ответного вызова для ресурса REST, который прослушивает запросы вызовов.
  6. Введите имя пользователя, если REST API требует учетных данных для доступа.
  7. Введите пароль для имени пользователя, если REST API требует учетных данных для доступа.
  8. Укажите сертификат SSL в формате PEM (электронная почта с улучшенной конфиденциальностью) для параметра Сертификат SSL в формате PEM, если ресурс REST запущен на сервере, который использует самозаверенный сертификат или сертификат, не одобренный публичным центром сертификации, и HTTPS.

Настройка метаданных SAML для реализации единого входа

Получите метаданные и сертификаты SAML со страницы Настройки для реализации единого входа в приложениях SaaS.

Важно!: Все подключения единого входа, зависящие от существующих метаданных SAML, прерываются, когда CSR создает метаданные SAML.
Примечание:
Замена существующего сертификата SSL приводит к изменению текущих метаданных SAML. Если вы замените сертификат SSL, его необходимо также обновить в приложениях SaaS, которые настроены для единого входа на мобильных устройствах.
  1. Перейдите в раздел Ресурсы > Приложения > SaaS и выберите Настройки.
  2. Выберите Метаданные SAML > Загрузить метаданные SAML и выполните следующие действия.
    Табл. 1.
    Настройка Описание
    Метаданные SAML Скопируйте и сохраните метаданные поставщика удостоверений и поставщика услуг.

    Выберите ссылки и откройте экземпляр браузера с XML-данными.

    Настройте стороннего поставщика удостоверений с помощью этой информации.

    Сертификат подписи Скопируйте сертификат для подписи, включая весь код в текстовой области.

    Кроме того, можно загрузить сертификат и сохранить его как TXT-файл.

  3. Выберите «Создать CSR» и выполните следующие действия, чтобы запросить цифровой сертификат удостоверения (сертификат SSL) в своем центре сертификации. Этот запрос идентифицирует вашу компанию, имя домена и открытый ключ. Сторонний центр сертификации использует его для выдачи сертификата SSL. Чтобы обновить метаданные, отправьте подписанный сертификат.
    Настройка — Новый сертификат Описание
    Обычное имя Введите полное доменное имя сервера организации.
    Организационная Введите зарегистрированное название компании.
    Отдел Введите название отдела компании, на которую ссылается сертификат.
    Город Введите название города, в котором зарегистрирована организация.
    Область Введите название области или региона, в котором зарегистрирована организация.
    Страна Введите название страны, в которой зарегистрирована организация.
    Алгоритм создания ключей Выберите алгоритм для подписи CSR.
    Размер ключа Выберите число бит в ключе: 2048 или больше.

    Ключи RSA длиной менее 2048 бит считаются ненадежными.

    Настройка — Замена сертификата Настройка
    Загрузить SSL-сертификат Загрузите SSL-сертификат, полученный от независимого центра сертификации.
    Запрос подписи сертификата Загрузите запрос подписи сертификата. Отправьте запрос подписи сертификата в сторонний центр сертификации.

Настройка источника приложения для сторонних поставщиков удостоверений

Добавление поставщика удостоверений в качестве источника приложений оптимизирует процесс добавления отдельных приложений от этого поставщика в каталог конечных пользователей, поскольку можно применить настроенные параметры и политики из стороннего источника приложений ко всем приложениям, управляемым этим источником.

Чтобы начать, предоставьте группе ALL_USERS доступ к источнику приложения и выберите политику доступа.

В каталог можно добавить веб-приложения, которые используют профиль аутентификации SAML 2.0. настройка приложения основана на параметрах, настроенных в источнике приложения. Для настройки требуются только имя приложения и целевой URL-адрес.

При добавлении приложений можно предоставить доступ определенным пользователям и группам и применить политику доступа для управления доступом пользователей к приложению. Пользователи могут получить доступ к этим приложениям со своих компьютеров и мобильных устройств.

Настройки и политики из стороннего источника приложения могут применяться ко всем приложениям под управлением источника. В некоторых случаях сторонние поставщики удостоверений отправляют запрос аутентификации без указания того, к какому приложению пользователь пытается получить доступ. Если Workspace ONE Access получает запрос на проверку подлинности, который не содержит информацию о приложении, применяются правила политики доступа резервного копирования, настроенные в источнике приложения.

Следующие поставщики удостоверений могут быть настроены как источники приложений.

  • Okta
  • Сервер PingFederated из Ping Identity
  • Active Directory Federation Services (ADFS)

Источник приложения можно настроить, выбрав стороннего поставщика удостоверений. После настройки источника приложения можно создать связанные приложения и предоставить пользователям доступ к ним.

  1. Перейдите в раздел Ресурсы > Приложения > SaaS и выберите Настройки.
  2. Выберите Источники приложения.
  3. Выберите стороннего поставщика удостоверений. Откроется мастер источника приложения стороннего поставщика удостоверений.
  4. Введите описательное имя источника приложения и нажмите кнопку Далее.
  5. Тип аутентификации по умолчанию — SAML 2.0 и доступен только для чтения.
  6. Измените конфигурацию источника приложения
    Табл. 2. Параметры конфигурации — URL/XML
    Настройка Описание
    Настройка URL/XML — это параметр по умолчанию для приложений SaaS, еще не включенных в каталог Workspace ONE.
    URL/XML Введите URL-адрес, если метаданные XML доступны в Интернете.

    Вставьте XML в текстовое поле, если метаданные XML недоступны в Интернете, но есть у вас.

    Выполняйте настройку вручную, если у вас нет метаданных XML.

    URL-адрес состояния ретрансляции Введите URL-адрес, по которому будут направляться пользователи приложений SaaS после выполнения единого входа по сценарию поставщика удостоверений (IDP).
    Табл. 3. Параметры конфигурации — ручная настройка
    Настройка Описание
    Настройка Вручную — это параметр по умолчанию для приложений SaaS, добавленных из каталога.
    URL-адрес единого входа Введите URL-адрес службы обработчика утверждений (ACS).

    Workspace ONE отправляет этот URL-адрес вашему поставщику услуг для единого входа.

    URL-адрес получателя Введите URL-адрес, задающий домен в теме утверждения SAML, в соответствии с требованиями вашего поставщика услуг.

    Если ваш поставщик услуг не требует определенного URL-адреса, введитеURL-адрес единого входа.

    ID приложения Введите свой ID клиента, присвоенный поставщиком услуг, в Workspace ONE. Workspace ONE отправляет утверждение SAML на ID.

    Некоторые поставщики услуг используют URL-адреса единого входа.

    Формат имени пользователя Выберите формат темы SAML, который требуют поставщики услуг.
    Значение имени пользователя Введите ID имени, который Workspace ONE отправляет в теме утверждения SAML.

    По умолчанию это имя пользователя в профиле у поставщика службы приложения.

    URL-адрес состояния ретрансляции Введите URL-адрес, по которому будут направляться пользователи приложений SaaS после выполнения единого входа по сценарию поставщика удостоверений (IDP).
  7. Измените дополнительные свойства.
    Настройка Описание
    Подписать ответ Введите URL-адрес, по которому будут направляться пользователи к приложению SaaS в Интернете.
    Подписать утверждение Введите URL-адрес службы обработчика утверждений (ACS).

    Workspace ONE отправляет этот URL-адрес вашему поставщику услуг для единого входа.

    Зашифровать утверждение Введите URL-адрес, задающий домен в теме утверждения SAML, в соответствии с требованиями вашего поставщика услуг.

    Если ваш поставщик услуг не требует определенного URL-адреса, введитеURL-адрес единого входа.

    Включить подпись утверждения Введите свой ID клиента, присвоенный поставщиком услуг, в Workspace ONE. Workspace ONE отправляет утверждение SAML на ID.

    Некоторые поставщики услуг используют URL-адреса единого входа.

    Алгоритм подписи Выберите SHA256 с RSA в качестве алгоритма шифрования хэша.
    Алгоритм выборки Выберите SHA256
    Время утверждения Введите время утверждения SAML в секундах.
    Запрос подписи Если нужно, чтобы поставщик услуг подписал запрос, отправляемый им в Workspace ONE, введите общедоступный сертификат для подписи.
    Сертификат шифрования Введите общедоступный сертификат шифрования, если нужно, чтобы запрос SAML от поставщика службы приложений к Workspace ONE был подписан.
    URL-адрес для входа в приложение Введите URL-адрес страницы входа своего поставщика услуг. После срабатывания этого параметра поставщик услуг инициирует вход в систему Workspace ONE. Некоторые поставщики услуг требуют аутентификацию для начала работы со своих страниц входа.
    Число прокси-серверов Укажите допустимые прокси-серверы между поставщиком услуг и поставщиком удостоверений аутентификации.
    Доступ через API Разрешите доступ к API-интерфейсу для данного приложения.
  8. Настройте Сопоставление настраиваемых атрибутов. Если поставщик услуг разрешает настраиваемые атрибуты, отличные от атрибутов для единого входа, добавьте их.
  9. Выберите Открыть в VMware Browser, если нужно открыть приложение в VMware Browser. Однако требуется, чтобы платформа Workspace ONE открывала приложение в VMware Browser. Открытие приложений SaaS в браузере VMware — дополнительная безопасность. Это действие сохраняет доступ ко внутренним ресурсам.
  10. Нажмите кнопку Далее.
  11. Чтобы обеспечить безопасность входа в ресурсы приложения, выберите политики доступа. Нажмите кнопку Далее, чтобы открыть страницу Сводка.
  12. Нажмите кнопку Сохранить. Если во время настройки источника приложения выбрано Сохранить и Назначить, права доступа к источнику приложения будут предоставлены всем пользователям. Однако можно изменить параметры по умолчанию и настроить права пользователей самостоятельно, добавляя пользователей или группы пользователей.
    1. а.После настройки поставщика удостоверений в качестве источника приложения можно создать связанные приложения для каждого стороннего поставщика удостоверений. После настройки параметров на вкладке Определение можно выбрать OKTA в раскрывающемся меню Тип проверки подлинности на вкладке Конфигурация.
    2. б.Можно задать разрешения для источника приложения для Всех пользователей или добавить пользователей/группы пользователей. По умолчанию, если при настройке источника приложения выбран вариант Сохранить и назначить, то разрешения для него будут предоставлены всем пользователям.