Workspace ONE Access 22.05.Connector 可使用聯邦資訊處理標準 (FIPS) 140-2 相容演算法來執行密碼編譯作業。您可透過在 FIPS 模式下執行 Workspace ONE Access Connector 22.05 全新安裝,以啟用並使用這些演算法。
聯邦資訊處理標準 (FIPS) 140-2 是美國和加拿大政府標準,用於指定密碼編譯模組的安全性需求。請參閱 VMware 聯邦資訊處理標準 (FIPS) 資訊頁面。
Workspace ONE Access Connector 不支援從非 FIPS 安裝架構升級或移轉至 FIPS 安裝架構,也不支援從 FIPS 安裝架構升級或移轉至非 FIPS 安裝架構。22.05 之前的所有連接器版本均為非 FIPS 安裝架構。
- 僅 Workspace ONE Access FedRAMP 承租人支援 FIPS 模式下的 Workspace ONE Access Connector。其他類型的承租人和內部部署 Workspace ONE Access 安裝則不支援處於 FIPS 模式的連接器。
- 虛擬應用程式服務不支援 FIPS 模式。啟用了 FIPS 模式的 Workspace ONE Access Connector 不支援與 Citrix、Horizon、具有單一網繭代理的 Microsoft Azure 上的 Horizon Cloud Service 或 Horizon Cloud Service on IBM Cloud 整合。啟用了 FIPS 模式的 Workspace ONE Access Connector 支援整合在具有 Universal Broker 的 Horizon Cloud Service on Microsoft Azure 中執行的虛擬應用程式。
在 FIPS 模式下安裝 Workspace ONE Access Connector
若要針對 Workspace ONE Access Connector 啟用 FIPS 模式,請在安裝期間選取啟用 FIPS 選項。
- 在安裝之後,您無法從 FIPS 模式變更為非 FIPS 模式或從非 FIPS 模式變更為 FIPS 模式。因此,在開始安裝之前,請仔細檢閱需求和先決條件,並決定是否啟用 FIPS。
- 另請注意,只能將 FIPS 安裝架構升級到 FIPS 安裝架構,並且只能將非 FIPS 安裝架構升級到非 FIPS 安裝架構。
FIPS 模式的需求和先決條件
對於處於 FIPS 模式的連接器,會套用以下的需求和先決條件。
- 請確定是在 FIPS 模式下安裝所有連接器執行個體。與 Workspace ONE Access 承租人相關聯的所有連接器執行個體都必須在 FIPS 模式下執行,或者所有連接器執行個體都必須在非 FIPS 模式下執行,無論在這些執行個體上安裝了哪些企業服務都是如此。請勿在 FIPS 模式下部署一些連接器執行個體,而在非 FIPS 模式下部署另一些連接器執行個體。
- 對於「透過整合式 Windows 驗證 (IWA) 的 Active Directory」類型的目錄:
- 若要在 Workspace ONE Access 中建立「透過 IWA 的 Active Directory」類型的目錄,繫結 DN 使用者密碼的長度最少要有 14 個字元。
- 密碼長度下限 14 個字元還適用於 IWA 目錄中所有已同步的使用者。
- 如果使用 sAMAccountName 屬性,則使用者的 sAMAccountName 加上網域名稱的長度必須至少為 16 個字元。
- 對於 Active Directory 的 [變更密碼] 功能:
- Active Directory 的 [變更密碼] 功能會要求使用者密碼長度最少有 14 個字元。
現有密碼必須符合此需求。如果現有密碼少於 14 個字元,使用者將無法從 Intelligent Hub 應用程式或入口網站變更其密碼。
新密碼也必須符合此需求。當使用者從 Intelligent Hub 應用程式或入口網站建立新密碼時,不會強制符合最少 14 個字元的要求。但是如果新密碼的長度不到 14 個字元,則使用者將無法再次變更密碼。此外,如果使用者屬於「透過整合式 Windows 驗證的 Active Directory」類型的目錄,則使用者將無法使用新密碼來登入 Intelligent Hub 應用程式或入口網站。
- 如果使用 sAMAccountName 屬性,則使用者的 sAMAccountName 加上網域名稱的長度必須至少為 16 個字元。
- Active Directory 的 [變更密碼] 功能會要求使用者密碼長度最少有 14 個字元。
- 如果您設定 Active Directory 連線,並選取所有連線都需要 STARTTLS 或所有連線都需要 LDAPS 選項,則網域控制站必須具有 CA 簽署的有效公開憑證。
最佳做法是在 FIPS 模式下安裝 Workspace ONE Access Connector 之前,先實作這些必要條件。