VMware Workspace ONE Access Connector (Windows) 20.10 | 2020 年 10 月 | 組建編號 Workspace ONE Access Connector 20.10.0 Installer.exe

VMware Identity Manager Connector (Windows) 19.03.0.1 | 2020 年 10 月 | 組建編號 VMware Identity Manager Connector 19.03.0.1 Installer.exe

VMware Identity Manager Integration Broker 19.03.0.1 | 2020 年 10 月 | 組建編號 16975699

2020 年 12 月

2020 年 12 月 8 日更新      Workspace ONE Access SaaS 不受 CVE-2020-4006 影響,但可能已部署 Workspace ONE Access Connector 的 SaaS 客戶應參考 VMSA-2020-0027,以瞭解這些元件是否受影響且需要修補。

版本說明的內容

此版本說明涵蓋下列主題。

此版本的新增功能

與 Workspace ONE Access 的原生 Duo MFA 整合

  • Workspace ONE Access 支援多個使用 RADIUS 型整合的第三方 MFA 提供者。我們即將發行與 Duo MFA 的原生 API 型整合。
  • Workspace ONE 客戶可以利用新的 Duo 驗證配接器,存取需要額外安全性要素的公司資源。   
  • 目前的 Duo 客戶可以啟用驗證配接器,並將其設定於存取原則中,就像其他 Workspace ONE Access 驗證配接器一樣。
  • Duo 原生 API 整合最初僅適用於 Workspace ONE Access SaaS 客戶。

支援以 OpenID Connect 作為第三方身分識別提供者

  •  Workspace ONE Access 可作為任何第三方 OpenID Connect 提供者的 OpenID Connect 信賴第三方。  
  •  客戶可將 Workspace ONE Access 設定為與用作驗證來源的外部 OpenID Connect 提供者同盟。  此外,Workspace ONE Access 也支援來自第三方 OpenID Connect 提供者的自訂 OpenID Connect 宣告。 
  • 最初只有 Workspace ONE Access SaaS 客戶可將 OpenID Connect 作為第三方身分識別提供者。

Verify (Intelligent Hub) 全面推出

  • Workspace ONE Access 中的 Verify (Intelligent Hub) 驗證配接器已在今年秋季首次推出。這是業界第一個直接建置於數位工作區中的多重要素驗證 (MFA) 解決方案,適用於 iOS 和 Android 版 Workspace ONE Intelligent Hub。它可讓使用者在要求公司資源的存取權時,能夠接收直接傳送至其手機的推播通知 (而非輸入密碼),以輕鬆核准要求。Workspace ONE Access 客戶無需負擔額外的成本或授權需求,即可利用此功能。
  • Verify (Intelligent Hub) 最初僅適用於 Workspace ONE Access SaaS 客戶。

Workspace ONE 和 Okta 的要素型裝置信任

  • 要素型裝置信任是來自 VMware 和 Okta 的額外供應項目,可改善在 2019 年宣告的現有裝置信任整合。要素型裝置信任採用 Okta 的「IdP 要素」功能,可讓 Workspace ONE Access 條件式存取原則中的所有功能在驗證要求期間進行評估。
  • 要素型裝置信任具有下列勝於裝置信任的優點:
    • 支援使用 Workspace ONE UEM 檢查裝置的管理和符合性狀態。先前的裝置信任功能只能檢查裝置是否受到 Workspace ONE UEM 管理。
    • 支援 Windows、macOS、Android 和 iOS 作業系統。裝置信任僅支援 Android 和 iOS。
  • 對於目前已設定裝置信任的客戶,如果 Android 和 iOS 可滿足您的需求,則不需執行任何動作。
  • 要素型裝置信任可與裝置信任搭配運作。如果裝置信任滿足您在 Android 和 iOS 上的需求,您可以單獨設定要素型裝置信任以處理 Windows 和 macOS 裝置。
  • 您可以在此處找到更多關於設定要素型裝置信任的資訊。
  • 在我們目前的合作夥伴關係中,VMware 和 Okta 正在進行更深入的前瞻性長期整合,包含在兩個平台之間共用更多裝置、應用程式和身分識別內容。

  • 可設定的外部識別碼目錄支援

    與 Active Directory 整合時,使用者的外部識別碼屬性現在可以對應至 objectGUID 屬性以外的自訂屬性。將 Workspace ONE Access 與 VMware Workspace ONE UEM 服務整合時,若後者使用 objectGUID 以外的其他屬性作為同步使用者的物件識別碼,則能夠將外部識別碼屬性對應至自訂屬性的功能相當實用。

  • 支援 Workspace ONE Access 和連接器的 4096 金鑰憑證

    我們現在支援 Workspace ONE Access 服務和連接器的 4096 位元金鑰 SSL 憑證。透過這項實作,我們增加了 SSL 憑證的加密強度。

    • 當 FIPS 模式啟用時,客戶可以對服務使用 4096 位元 SSL 憑證
    • 客戶可以在 20.10 和 19.03.0.1 Connector 和企業服務連接器上傳 4096 位元 SSL 憑證
    • 此版本支援 4096 位元 SAML 憑證
  • 支援自訂 LDAP 篩選器

    我們導入了新功能,因此在 Workspace ONE Access 中同步使用者時可支援自訂 LDAP 篩選器查詢。現在,當管理員在 Workspace ONE Access 中設定使用者同步時,可以指定 OU 的辨別名稱。現在,管理員可以設定 Workspace ONE Access,以使用查詢篩選器進行使用者篩選,縮小傳送至目錄伺服器的 LDAP 查詢範圍。

  • Hub 目錄支援 Horizon Cloud 桌面平台和應用程式

    過去,將 Workspace ONE Access 與 Horizon Cloud 整合的客戶必須設定虛擬應用程式集合。現在,進行 Horizon Cloud 部署時已不再需要設定虛擬應用程式集合,而是可以直接從 Horizon Cloud 管理主控台將 Horizon Cloud 桌面平台和應用程式指派新增至 Hub 目錄。在以新方式整合時,應用程式特定的存取原則無法套用至 Horizon Cloud 應用程式。請參閱關於使用 Horizon Cloud 環境搭配 VMware Workspace ONE 和選用的 True SSO 功能

  • 2020 年 10 月發行了兩個 VMware Workspace ONE Access Connector (Windows)。
    • 20.10 Connector。    新的 20.10 安裝程式適用於 Windows 版的 Workspace ONE Access Connector。
    • 19.03.0.1 Connector。  新的 19.03.0.1 安裝程式適用於 Windows 版的 Workspace ONE Access Connector。請使用安裝程式從 19.03 版升級至 19.03.0.1 版。

讓 Workspace ONE Access 為初始上線體驗做好準備

  • 魔術連結。  透過此功能,管理員將能夠產生一次性使用的「魔術連結」,讓使用者能夠從網頁瀏覽器存取 Workspace ONE Intelligent Hub 入口網站中的歡迎頁面。管理員可以設定此連結處於作用中狀態的時間長度,以及出現漏洞時在使用者使用連結之前停用連結。此連結可透過 API 產生,且可以自動傳送給使用者,或者管理員也可透過電子郵件手動傳送。注意:只能為一個 Active Directory 群組產生魔術連結。

  • 權杖驗證。此功能是魔術連結的骨幹。我們已在一次性的存取權杖中建立了新的驗證方法,只要第一次按下魔術連結就會耗盡。您可以設定 Workspace ONE Access API 以建立權杖驗證,然後啟用 Workspace ONE Access 主控台的驗證方法。

若要進一步瞭解如何準備初始上線體驗,請參閱如何在 Workspace ONE Intelligent Hub 中準備初始上線體驗

排除現在是要指派給目錄中應用程式的一種權利類型

Workspace ONE Access 提供了一種功能,可設定每個應用程式以排除特定的權利群組。這表示當管理員指派應用程式時,他們可以選擇要從應用程式中排除的使用者和 Active Directory 群組。

群組排除讓我們的客戶能禁止雇用前群組存取其 Workspace ONE Intelligent Hub 內的敏感應用程式,並限制其只能存取上線所需的必要應用程式。 

在 Intelligent Hub 內引進 Verify

使用全新的 Verify (Intelligent Hub) 驗證配接器,Workspace ONE 現在包含業界第一個直接建立在數位工作區中的多重要素驗證 (MFA) 解決方案。使用者可以利用行動裝置上的 Intelligent Hub 應用程式,對推送多重要素驗證要求採取行動,而無需「任何」其他使用者設定。這可以與風險型條件式存取相結合,以獲得調適性 MFA 體驗。

此解決方案採用整個 Workspace ONE 平台的技術,可利用 Hub 服務來提供通知、利用 Workspace ONE UEM 確保裝置受管理或已登錄,並利用 Workspace ONE Access 進行驗證。

建議將現有的 VMware Verify 客戶在 Intelligent Hub 應用程式內升級為新的內嵌式 MFA 體驗。

注意:Verify (Intelligent Hub) 將在未來的幾個月內提供給所有 SaaS 環境。此功能目前在 Workspace ONE Access 預覽 (UAT) 中可用。在 VMware Workspace ONE Access 中,Verify (Intelligent Hub) 可用於具有預覽帳戶的測試執行。此功能將在 2020 年 10 月提供。

Windows 10 全新體驗 (OOBE) 註冊原則

能夠建立特定於 Windows 10 OOBE 或加入 Azure Active Directory 網域的註冊存取原則規則。需要確保只有 Windows 10 受管理的裝置能夠存取 Office 365 的客戶,可以利用此註冊原則,將註冊與註冊後存取權分開。

Workspace ONE Intelligent Hub 註冊原則

能夠在 Workspace ONE UEM 中的驗證來源設定為 Workspace ONE Access 時,將裝置註冊的存取原則規則設定至 Workspace ONE UEM。此規則可讓客戶利用行動 SSO 於註冊後登入至 Intelligent Hub,而不會影響註冊流程。

裝置註冊原則也可用於封鎖對舊版 Workspace ONE 應用程式的任何進一步註冊。

對 iOS 和 Android Hub 註冊流程的初始支援。

虛擬應用程式的密碼快取

在即將推出的版本中,Workspace ONE Access 會提供管理員控制密碼快取的能力。您可以在 Workspace ONE Access 主控台中啟用密碼快取,以便在不使用 True SSO 的情況下,為從 Workspace ONE 目錄執行 Horizon、Horizon Cloud 和 Citrix 虛擬應用程式的使用者提供單一登入。如需相關資訊,請參閱設定虛擬應用程式的密碼快取

如果已啟用密碼快取選項,則會在第一次使用密碼型驗證登入 Workspace ONE Access 時會快取使用者的密碼。如果使用另一種驗證方法 (例如第三方身分識別提供者、RADIUS、憑證型等),則在第一次啟動虛擬應用程式期間遇到密碼型驗證挑戰時會快取使用者的密碼。快取使用者的密碼後,在相同登入工作階段中執行虛擬應用程式時,使用者即不需要再次輸入其密碼。

如果您是使用虛擬應用程式的現有客戶,此推出對使用者啟動體驗沒有任何變更。新設定與 Horizon 和 Citrix 整合的客戶,可以選擇啟用此密碼快取選項,以便享有順暢的啟動體驗。對於 Horizon 和 Horizon Cloud,為獲得最佳的使用者體驗,請設定 True SSO,而非快取密碼。

自願性產品協助工具標準改善

改善了 Workspace ONE Access 登入畫面的可存取性,以符合 VPAT (自願性產品協助工具範本) 標準。

  • 已更新色彩以獲得足夠的對比。
  • 新增替代文字作為隱藏標籤。

在管理主控台中更新了第三方身分識別提供者頁面,並提供在 SAML 中傳送主體資訊的選項

在協力廠商身分識別提供者的 SAML 要求中,新增了可讓您選擇啟用傳遞主題的選項功能。  此功能依預設為停用。

請在執行 Workspace ONE Access 19.03 Connector 的 Windows Server 上安裝目錄同步、使用者驗證和 Kerberos 驗證服務

用於 20.01.0.1 Connector 的 Windows Server 應與舊版連接器伺服器分開的建議仍然有效。但是,如果您無法購買新機器,則可以在執行 Workspace ONE Access 19.03 Connector 的 Windows Server 上安裝 20.01.0.1 目錄同步、使用者驗證和 Kerberos 驗證服務,然後再移轉舊版連接器。  在 Windows Server 上安裝上述任何服務之前,您必須先增加機器上的 CPU 和記憶體,因為會同時執行兩個版本的連接器直到移轉完成。您需要根據大小調整準則來增加 CPU 和記憶體,以同時符合 19.03 和 20.01.0.1 Connector 的需求。移轉完成後,便可以停止 19.03 Connector 並予以解除安裝

連接器的大小調整需求

支援 LDAP 簽署和 LDAP 通道繫結

請參閱 VMware 知識庫文章 77158 Support LDAP Signing and LDAP Channel Binding with VMware Workspace ONE Access, Identity Manager (77158 使用 VMware Workspace ONE Access、Identity Manager 來支援 LDAP 簽署和 LDAP 通道繫結)

注意:您不需要套用知識庫文章中提到的 Hotfix。Workspace ONE Access 20.01.0.1 修補程式發行版本已包含知識庫文章中所提到的 Hotfix。 

  • 在安裝 Workspace ONE Access Connector 20.01.0.1 後,Active Directory over IWA 的功能將無法與 StartTLS 選項相容。請在升級時遵循這些高階步驟。
  • 在升級至 20.01.01 Connector 之前,請先停用 Active Directory over IWA 組態中的 StartTLS 選項
  • 在安裝或升級至 20.01.01 Connector 之後,請勿在 Active Directory over IWA 組態中啟用 StartTLS 選項。

Okta 通用目錄整合 – 將 Workspace ONE Access 與 Okta 連線,以將使用者帳戶匯入 Workspace ONE 中。通用目錄整合可讓下列案例使用 Okta。

  • 僅限雲端的 Okta 通用目錄
  • 臨時性/季節性工作者
  • 具有內部部署 Active Directory + 僅限雲端使用者的混合目錄環境
  • HR 精通的使用者

此整合以 SCIM 為基礎,可讓使用者帳戶透過業界標準從 Okta 同步至 Workspace ONE。支援使用者、使用者屬性和群組之間的建立、更新和刪除。可以使用 Workspace ONE Access 中現有的 AirWatch 佈建配接器,進一步將這些使用者同步至 Workspace ONE UEM。啟用後,管理員即可為這些使用者提供完整的 Workspace ONE 功能,包括整合目錄、行動 SSO、智慧和 UEM 註冊。VMware Workspace ONE SCIM 應用程式可在 Okta 整合網路 (OIN) 商店中找到。

目前沒有移轉程序可用來將現有的 Active Directory 使用者移轉至 SCIM,這表示現有部署與新部署的優點會有所不同。

  • 新部署可利用通用目錄整合部署單一 (Okta) 連接器,以在 Workspace ONE 中填入 AD 和僅限雲端使用者的組合。這可以讓組合的產品所需的連接器基礎結構獲得整體的簡化。
  • 現有部署應將 Workspace ONE 連接器保留給 Active Directory 使用者使用,並部署通用目錄整合以匯入僅限雲端的使用者,無論是臨時性工作者、HR 精通的使用者,或是混合目錄環境中的僅限雲端使用者。

請參閱從 Okta 到 VMware Workspace ONE Access 的 SCIM 佈建說明文件。

VMware Workspace ONE Access 舊稱為 VMware Identity Manager

VMware Workspace ONE Access 是舊稱為 VMware Identity Manager 的新名稱。此名稱的變更並未移除任何功能。

 已修訂連接器和連接器管理

  • 能夠個別安裝連接器元件。這三個元件是
    • 目錄同步服務 - 將使用者從 Active Directory 或 LDAP 目錄同步至 Workspace ONE Access 服務。
    • 使用者驗證服務 - 提供密碼 (雲端)、RSA SecurID (雲端) 和 RADIUS (雲端) 部署。
    • Kerberos 驗證服務 - 為內部使用者提供 Kerberos 驗證。
  • 改善並簡化連接器組態和生命週期管理
    • 將目錄同步服務和驗證方法服務功能組態移至 Workspace ONE Access 服務。目錄同步的組態位於 [身分識別與存取管理] > [目錄] 頁面中。使用者驗證和 Kerberos 驗證方法的組態位於 Workspace ONE Access 主控台的 [身分識別與存取管理] > [企業驗證方法] 頁面中。連接器中不會存放任何組態詳細資料。
    • 您可以視需要輕鬆新增和移除連接器。
  • 目錄同步
    • 改善穩定性並減少資源需求
    • 目錄同步現在是透過 Workspace ONE Access 服務來驅動。使用者可以輕鬆地在主控台的 [目錄組態] 頁面中新增更多目錄同步節點,以獲得同步的高可用性。
    • 移除執行同步試執行的功能。
    • 已移除 [測試目錄] 按鈕。儲存目錄組態時,目錄同步服務會在 Active Directory 中測試目錄組態。
    • 在使用者介面中,現在有兩個同步選項可供使用,即使用保護措施進行同步與不使用保護措施進行同步。這些動作可從 [身分識別與存取管理] > [目錄] 頁面中的目錄清單,或從特定目錄登陸頁面執行。
    • 建立 IWA 目錄後,僅會顯示儲存在目錄之 [網域] 索引標籤中資料庫的網域。管理員必須選取 [重新整理] 按鈕,才能看到與基底網域具有雙向信任關係的所有網域。
    • 目錄的 [群組] 索引標籤會顯示已儲存的群組 DN 和來自資料庫的對應群組。系統不會自動對目錄同步服務進行呼叫來擷取其他詳細資料,例如容器中的群組數目。您必須明確按一下選取按鈕,才能執行 Active Directory 查詢來擷取特定群組 DN 的群組數目。
    • 儲存使用者屬性對應並不會將使用者 DN、群組 DN、保護措施和同步排程組態傳送至連接器上的目錄同步服務。這些組態會儲存在 Workspace ONE Access 服務資料庫中,因為目錄同步服務為無狀態。

國際化

VMware Workspace ONE Access 提供下列語言版本。

  • 英文
  • 法文
  • 德文
  • 西班牙文
  • 日文
  • 簡體中文
  • 韓文
  • 繁體中文
  • 俄文
  • 義大利文
  • 葡萄牙文 (巴西)
  • 荷蘭文

相容性、安裝和升級

元件相容性

支援的 Windows Server

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

支援的 Web 瀏覽器

  • Mozilla Firefox,最新版本
  • Google Chrome 42.0 或更新版本
  • Internet Explorer 11
  • Safari 6.2.8 或更新版本
  • Microsoft Edge,最新版本

支援的資料庫

  • MS SQL 2012、2014、2016、2017

支援的目錄伺服器

  • Active Directory - 單一 AD 網域、單一 AD 樹系中的多個網域,或多個 AD 樹系間的多個網域。
  • OpenLDAP - 2.4.42
  • Oracle LDAP - Directory Server Enterprise Edition 11g 第 1 版 (11.1.1.7.0)
  • IBM Tivoli Directory Server 6.3.1

 將不再支援元件版本

  • Windows Server 2008 R2
  • Windows Server 2012

這會影響可能在這些 Windows Server 版本上安裝的 Workspace ONE Access Connector、Integration Broker 或資料庫。

這會影響到在這些 Windows Server 版本上執行的 Active Directory。

相容性對照表

VMware 產品互通性對照表提供目前版本和舊版 VMware 產品與元件 (例如 VMware vCenter Server、VMware ThinApp 和 Horizon 7) 的相容性詳細資料。

VMware Connector 相容性

VMware Workspace ONE Access Connector 20.10.0.0 (Windows)

VMware Workspace ONE Access Connector 是與您的內部部署基礎結構整合之 VMware Workspace ONE Access 的內部部署元件。連接器是一種可在 Windows 伺服器上個別或一併安裝的企業服務集合。可安裝下列服務元件。

  • 目錄同步服務,用來從您的企業目錄同步使用者
  • 使用者驗證服務,包含密碼 (雲端)、RSA SecurID (雲端) 和 RADIUS (雲端)。
  • Kerberos 驗證服務,用於 Kerberos 驗證

移轉至 Workspace ONE Access 20.10 連接器

如果您要從 19.03 之前的版本升級至 Workspace ONE® Access™ 20.10,且要使用新的 Workspace ONE Access 20.10 Connector,您必須依照移轉程序操作。此程序包括安裝新的 20.10 Connector,以及將您現有的目錄移轉至新的連接器。

您無法將舊版連接器升級至 20.10。若要從舊版連接器移轉至 20.10 Connector,請移轉您的目錄。當您移轉目錄時,系統會移轉所有資料,包括驗證方法和身分識別提供者。

請參閱移轉至 VMware Workspace ONE Access 20.10 Connector

升級至 20.10

若要將 Workspace ONE Access Connector 20.01 升級至 20.10,請參閱《升級至 VMware Workspace ONE Access Connector 20.10》。

VMware Workspace ONE Access Connector 19.03.0.1

您可以從 19.03.0.0 版升級至以 Windows 為基礎的 VMware Identity Manager Connector 19.03.0.1,以取得最新的安全性更新和已解決的問題。19.03.0.1 Connector 支援虛擬應用程式,特別是與 Workspace ONE Access 整合的 Horizon、Horizon Cloud 和 Citrix。請參閱 升級至 VMware Identity Manager Connector (Windows) 19.03.0.1

虛擬應用程式

Workspace ONE Access 20.10 連接器尚不支援虛擬應用程式 (Citrix、Horizon、Horizon Cloud 和 ThinApp 整合)。如果您的環境包含虛擬應用程式,或您計劃將來使用虛擬應用程式,請勿移轉至 Workspace ONE Access 20.10 Connector。

若要將虛擬應用程式與 Workspace ONE Access 20.10 搭配使用,您必須使用 VMware Identity Manager Connector 19.03.0.0 或 19.03.0.1 版

若要將 VMware ThinApp 與 Workspace ONE Access 20.01 搭配使用,您必須使用 VMware Identity Manager Linux 型連接器應用裝置 2018.8.1 版。  如果您使用 ThinApp 套件,請勿升級至 19.03 或 20.10 版的 VMware Workspace ONE Access Connector。

  • VMware Identity Manager Desktop 3.2 | 2018 年 3 月 | 組建編號 7952055 與 ThinApp 套件搭配使用

說明文件

VMware Workspace ONE Access 說明文件位於 VMware Workspace ONE Access 說明文件中心

19.03.0.1 修補程式發行版本中已解決的問題

HW-117339

Citrix 伺服器的 FQDN 中允許使用底線

HW-122010

如果使用者名稱或群組名稱中包含特殊字元,同步將不會失敗,但對於這些特定群組將不會執行權利擷取

HW-121046

在啟動期間,Integration Broker 會將 Deliverycontroller.AppName 傳送至 Storefront,以避免在相同的應用程式由多個伺服器陣列主控時,從錯誤的 Citrix 伺服器陣列中啟動應用程式

HW-121044

允許將 NetScaler 的 Cookie 設定為 VIP

HW-121045

已修正 Citrix 應用程式外部啟動的 CSRF Cookie 擷取

HW-121047

.net CLR 4.0 版支援 Citrix 1912

HW-119933

支援透過 ReST API 更新同步連接器,以將其設定為連接器的非同步連接器

HW-86018

刪除目錄時不會刪除組態狀態

ESC-22326 已修正 Citrix 7.5 的 Citrix 權利同步

 

check-circle-line exclamation-circle-line close-line
Scroll to top icon