Workspace ONE Access 23.09.Connector 可使用符合聯邦資訊處理標準 (FIPS) 140-2 的演算法來執行密碼編譯作業。您可以在 FIPS 模式下執行 Workspace ONE Access Connector 23.09 的全新安裝,或者將在 FIPS 模式下安裝的 22.05 或 22.09 Connector 升級至 23.09 版,以啟用這些演算法。

聯邦資訊處理標準 (FIPS) 140-2 是美國和加拿大政府標準,用於指定密碼編譯模組的安全性需求。請參閱 VMware 聯邦資訊處理標準 (FIPS) 資訊頁面

Workspace ONE Access Connector 不支援從非 FIPS 安裝架構升級或移轉至 FIPS 安裝架構,也不支援從 FIPS 安裝架構升級或移轉至非 FIPS 安裝架構。22.05 之前的所有連接器版本均為非 FIPS 安裝架構。

重要:
  • Workspace ONE Access FedRAMP 承租人支援處於 FIPS 模式的 Workspace ONE Access Connector。其他類型的承租人和內部部署 Workspace ONE Access 安裝則不支援處於 FIPS 模式的連接器。
  • 虛擬應用程式服務不支援 FIPS 模式。啟用了 FIPS 模式的 Workspace ONE Access Connector 不支援與 Citrix、Horizon、具有單一網繭代理的 Microsoft Azure 上的 Horizon Cloud Service 或 Horizon Cloud Service on IBM Cloud 或 ThinApp 整合。啟用了 FIPS 模式的 Workspace ONE Access Connector 支援整合在具有 Universal Broker 的 Horizon Cloud Service on Microsoft Azure 中執行的虛擬應用程式。

在 FIPS 模式下安裝 Workspace ONE Access Connector

若要針對 Workspace ONE Access Connector 啟用 FIPS 模式,請在安裝期間選取啟用 FIPS 選項。


在連接器安裝程式的 [指定組態檔] 頁面上,選取 [啟用 FIPS] 選項。
重要:
  • 在安裝之後,您無法從 FIPS 模式變更為非 FIPS 模式或從非 FIPS 模式變更為 FIPS 模式。因此,在開始安裝之前,請仔細檢閱需求和先決條件,並決定是否啟用 FIPS。
  • 另請注意,只能將 FIPS 安裝架構升級到 FIPS 安裝架構,並且只能將非 FIPS 安裝架構升級到非 FIPS 安裝架構。

FIPS 模式的需求和先決條件

對於處於 FIPS 模式的連接器,會套用以下的需求和先決條件。

  • 請確定是在 FIPS 模式下安裝所有連接器執行個體。與 Workspace ONE Access 承租人相關聯的所有連接器執行個體都必須在 FIPS 模式下執行,或者所有連接器執行個體都必須在非 FIPS 模式下執行,無論在這些執行個體上安裝了哪些企業服務都是如此。請勿在 FIPS 模式下部署一些連接器執行個體,而在非 FIPS 模式下部署另一些連接器執行個體。
  • 對於「透過整合式 Windows 驗證 (IWA) 的 Active Directory」類型的目錄:
    • 若要在 Workspace ONE Access 中建立「透過 IWA 的 Active Directory」類型的目錄,繫結 DN 使用者密碼的長度最少要有 14 個字元。
    • 密碼長度下限 14 個字元還適用於 IWA 目錄中所有已同步的使用者。
    • 如果使用 sAMAccountName 屬性,則使用者的 sAMAccountName 加上網域名稱的長度必須至少為 16 個字元。
  • 對於 Active Directory 的 [變更密碼] 功能:
    • Active Directory 的 [變更密碼] 功能會要求使用者密碼長度最少有 14 個字元。

      現有密碼必須符合此需求。如果現有密碼少於 14 個字元,使用者將無法從 Intelligent Hub 應用程式或入口網站變更其密碼。

      新密碼也必須符合此需求。當使用者從 Intelligent Hub 應用程式或入口網站建立新密碼時,不會強制符合最少 14 個字元的要求。但是如果新密碼的長度不到 14 個字元,則使用者將無法再次變更密碼。此外,如果使用者屬於「透過整合式 Windows 驗證的 Active Directory」類型的目錄,則使用者將無法使用新密碼來登入 Intelligent Hub 應用程式或入口網站。

    • 如果使用 sAMAccountName 屬性,則使用者的 sAMAccountName 加上網域名稱的長度必須至少為 16 個字元。
  • 如果您設定 Active Directory 連線,並選取所有連線都需要 STARTTLS所有連線都需要 LDAPS 選項,則網域控制站必須具有 CA 簽署的有效公開憑證。

最佳做法是在 FIPS 模式下安裝 Workspace ONE Access Connector 之前,先實作這些必要條件。