設定包含適用於 Workspace ONE 環境中所有 SaaS 應用程式的功能。搭配 SAML 驗證配置和必要核准的控制存取功能。

配置 SaaS 應用程式,要求使用者需取得核准才可存取應用程式。若您擁有為了協助管理授權啟用,需要授權才能存取的 SaaS 應用程式,請使用此功能。若啟用了核准,請在適用的 SaaS 應用程式記錄中配置相應的需要授權核准

  • 核准工作流程 – 使用者在 Workspace ONE 目錄中檢視應用程式,並要求使用應用程式。Workspace ONE Access 傳送核准要求訊息給企業已配置的核准 REST 端點 URL。系統審核要求,並回傳核准或拒絕訊息給 Workspace ONE Access。當應用程式獲得核准,應用程式狀態會從擱置中變為已新增,且該應用程式會顯示在使用者的 Workspace ONE 啟動器頁面中。
  • 核准引擎 – 系統提供兩個核准引擎。
    • REST API - REST API 核准引擎使用外部核准工具,透過您的 Web 伺服器 REST API 傳送流量以執行要求和核准回應。在 Workspace ONE Access 服務中輸入您的 REST API URL,並使用 Workspace ONE Access OAuth 用戶端認證值和呼叫要求與回應動作來配置您的 REST API。
    • 通過 Connector 的 REST API - 通過 Connector 核准引擎的 REST API 會傳遞回撥呼叫,讓流量經由使用 Websocket 型通訊通道的連接器進行傳輸。使用呼叫要求和回應動作配置您的 REST API 端點。

來自 CA 的 SAML 中繼資料和自助式簽署憑證或憑證

您可以針對行動單一登入此類的驗證系統,使用設定頁面的 SAML 憑證。Workspace ONE Access 服務會自動建立自我簽署憑證,以簽署 SAML。但是,某些企業需要來自憑證授權單位 (CA) 的憑證。若要向 CA 要求憑證,請在設定中產生憑證簽署要求 (CSR)。您可以使用任一個憑證,以驗證 SaaS 應用程式的使用者。

傳送依賴應用程式的憑證,以設定應用程式及 Workspace ONE 系統之間的驗證。

您可以新增第三方身分識別提供者,以便驗證 Workspace ONE Access 中的使用者。若要設定提供者執行個體,請使用您從 AirWatch 主控台的設定區段複製的識別提供者和服務提供者中繼資料。如需如何設定第三方提供者的詳細資訊,請參閱 Workspace ONE Access 中的設定第三方身分識別提供者執行個體以驗證使用者

您可選擇相應的第三方識別提供者,配置您的應用程式來源。設定應用程式來源後,便可建立相關的應用程式。

設定 Saas 應用程式的核准

為 SaaS 應用程式採用可啟用使用授權的核准功能。若透過相應的需要授權核准選項啟用了此功能,進行安裝和啟用授權前,使用者會要求 Workspace ONE 目錄中適用 SaaS 應用程式的存取權。

  1. 導覽至資源 > 應用程式 > SaaS,然後選取設定
  2. 選擇核准
  3. 選擇以啟用此功能。
  4. 選擇系統用來要求核准的核准引擎
  5. 輸入負責接聽呼叫要求的 REST 資源之回撥 URI (統一資源識別項)。
  6. 如果 REST API 需要認證才能存取,請輸入使用者名稱
  7. 如果 REST API 需要認證才能存取,請輸入使用者名稱的密碼
  8. 如果 REST 資源所在的伺服器具有自我簽署的憑證,或是公用憑證授權單位不信任的憑證,而且使用 HTTPS,請在 PEM 格式 SSL 憑證選項中,以 PEM (隱私強化電子郵件) 格式輸入 SSL 憑證。

配置 Single Sign-on 功能的 SAML 中繼資料

設定頁面擷取 SAML 中繼資料與憑證,以便擁有 SaaS 應用程式的單一登入能力。

重要: 產生 CSR 建立 SAML 中繼資料時,取決於現有 SAML 中繼資料的所有單一登入連線便會中斷。
備註:
如果您更換現有 SSL 憑證,此動作會變更現有的 SAML 中繼資料。如果您更換 SSL 憑證,則必須更新您利用最新憑證進行行動單一登入而設計的 SaaS 應用程式。
  1. 導覽至資源 > 應用程式 > SaaS,然後選取設定
  2. 選擇 SAML 中繼資料 > 下載 SAML 中繼資料並完成工作。
    表 1.
    設定 描述
    SAML 中繼資料 複製和儲存識別提供者中繼資料和服務提供者中繼資料。

    選取連結並開啟具有 XML 資料的瀏覽器執行個體。

    使用此資訊設定您的第三方識別提供者。

    簽署憑證 複製簽署憑證,其中會將所有代碼包含在文字區域中。

    您也可以下載憑證,將之另存為 TXT 檔案。

  3. 選取 [產生 CSR] 並完成工作,以便從憑證授權機構請求數位識別憑證 (SSL 憑證)。此請求會識別您的公司、網域名稱及公用金鑰。第三方憑證授權單位會使用它來發出 SSL 憑證。若要更新中繼資料,上傳簽署的憑證。
    設定 - 新憑證 描述
    一般名稱 為組織的伺服器輸入完全合格的網域名稱。
    企業 輸入合法登記的公司名稱。
    部門 輸入憑證參考之公司內的部門。
    縣/市 輸入企業合法所在地的城市。
    州/省 輸入企業合法所在的州或省。
    國家 輸入企業的合法所在國。
    重要產生演算法 選取用於簽署 CSR 的演算法。
    金鑰大小 選取用於金鑰的位元數量。選取 2048 或以上的數字。

    小於 2048 的 RSA 金鑰尺寸會被視為不安全。

    設定 - 取代憑證 設定
    上傳 SSL 憑證 上傳從第三方憑證授權單位接收的 SSL 憑證。
    憑證簽署請求 (Certificate Signing Request) 下載憑證簽署請求 (CSR)。將 CSR 傳送至第三方憑證授權單位。

針對第三方識別提供者設定應用程式來源

將身分識別提供者新增為應用程式來源,可簡化從該提供者將個別應用程式新增至終端使用者目錄的流程,因為您可以從第三方應用程式來源將經設定的設定及原則,套用至所有受應用程式來源管理的應用程式。

若要開始,請將應用程式來源的使用權益授權給 ALL_USERS 群組,並選擇要套用的存取原則。

可將使用 SAML 2.0 驗證設定檔的 Web 應用程式新增到目錄中。應用程式配置是依據應用程式來源中配置的設定。只需配置應用程式名稱和目標 URL。

新增應用程式時,可將使用權益授權給特定使用者和群組,並套用存取原則以控制使用者對應用程式的存取權限。使用者可從桌上型電腦和行動裝置存取這些應用程式。

從第三方應用程式來源配置的設定和原則,可套用至由應用程式來源管理的所有應用程式。有時第三方識別提供者傳送了驗證要求,卻未包含使用者嘗試存取哪個應用程式的資訊。如果 Workspace ONE Access 收到不含應用程式資訊的驗證要求,就會套用應用程式來源中配置的備用存取原則規則。

下列識別提供者可配置為應用程式來源。

  • Okta
  • Ping Identity 的 PingFederated 伺服器
  • Active Directory Federation Services (ADFS)

選擇第三方識別提供者,配置您的應用程式來源。設定應用程式來源後,便可建立相關應用程式並將使用權益授權給使用者。

  1. 導覽至資源 > 應用程式 > SaaS,然後選取設定
  2. 選擇應用程式來源
  3. 選擇第三方識別提供者。第三方識別提供者的應用程式來源精靈隨即會顯示。
  4. 輸入應用程式來源的描述性名稱,然後按下一步
  5. 驗證類型的預設值為 SAML 2.0 且為唯讀。
  6. 修改應用程式來源組態
    表 2. 組態設定 – URL/XML
    設定 描述
    配置 URL/XML 是不屬於 Workspace ONE 目錄一部分而新增之 SaaS 應用程式的預設選項。
    URL/XML 如果可透過網際網路存取 XML 中繼資料,則請輸入 URL。

    如果無法透過網際網路存取 XML 中繼資料,但您持有該資料,則請將 XML 貼入文字方塊中。

    如果您沒有 XML 中繼資料,則請使用手動配置。

    轉送狀態 URL 在識別提供者初始 (IDP) 情形中單一登入程序之後,輸入您希望 SaaS 應用程式使用者登錄的 URL。
    表 3. 組態設定 – 手動
    設定 描述
    配置 手動是從目錄新增之 SaaS 應用程式的預設選項。
    單一登入 URL 輸入判斷消費者服務 (ACS) URL。

    Workspace ONE 會將此 URL 傳送至您的服務提供者,以進行單一登入。

    收件者 URL 利用您服務提供者需要之特定值輸入 URL,其中會說明 SAML 判斷主體的網域。

    如果您的服務提供者不需要此 URL 的特定值,請輸入相同的 URL 作為單一登入 URL

    應用程式 ID 輸入可識別您的 Workspace ONE 之服務提供者租戶的 ID。Workspace ONE 會將 SAML 判斷傳送至 ID。

    一些服務提供者使用單一登入 URL

    使用者名稱格式 選取服務提供者需要的格式,以作為 SAML 主題格式。
    使用者名稱 Value 輸入 Workspace ONE 傳送到 SAML 判斷之主體運算式的「名稱 ID 值」。

    此數值是使用者名稱在應用程式服務提供者的預設設定檔欄位值。

    轉送狀態 URL 在識別提供者初始 (IDP) 情形中單一登入程序之後,輸入您希望 SaaS 應用程式使用者登錄的 URL。
  7. 修改進階屬性
    設定 描述
    登入回應 輸入 URL,將使用者導向至網際網路上的 SaaS 應用程式。
    登入判斷 輸入判斷消費者服務 (ACS) URL。

    Workspace ONE 會將此 URL 傳送至您的服務提供者,以進行單一登入。

    加密判斷 利用您服務提供者需要之特定值輸入 URL,其中會說明 SAML 判斷主體的網域。

    如果您的服務提供者不需要此 URL 的特定值,請輸入相同的 URL 作為單一登入 URL

    包含判斷簽名 輸入可識別您的 Workspace ONE 之服務提供者租戶的 ID。Workspace ONE 會將 SAML 判斷傳送至 ID。

    一些服務提供者使用單一登入 URL

    簽名算法 選擇 SHA256 搭配 RSA 作為安全加密雜湊演算法。
    摘要演算法 選擇 SHA256
    判斷時間 輸入 SAML 判斷時間 (單位為秒)。
    要求簽名 如果您希望服務提供者簽署其傳送至 Workspace ONE 的要求,請輸入公用簽署憑證。
    加密憑證 如果您希望簽署應用程式服務提供者傳送至 Workspace ONE 的 SAML 要求,請輸入公用加密憑證。
    應用程式登入 URL 輸入您服務提供者登入頁面的 URL。此選項會觸發服務提供者以初始登入 Workspace ONE。一些服務提供者要求驗證從其登入頁面開始。
    代理伺服器計數 輸入服務提供者及驗證識別提供者之間的可允許代理伺服器層。
    API 存取權限 允許此應用程式的 API 存取。
  8. 配置自訂屬性對應。如果您的服務提供者允許單一登入以外的自訂屬性,請新增這些屬性。
  9. 如果您希望在 VMware Browser 中開啟應用程式,請選擇在 VMware Browser 中開啟。但是這需要 Workspace ONE 在 VMware Browser 中開啟應用程式。如果您使用的是 VMware 瀏覽器,在瀏覽器內開啟 SaaS 應用程式可增添安全性。此動作可持續存取內部資源。
  10. 下一步
  11. 若要保護登入應用程式資源的過程,請選擇存取原則。按下一步以檢視摘要頁面。
  12. 按一下儲存。如果您在配置應用程式來源時選擇了儲存指派,便會將應用程式來源的使用權益設為所有使用者。但是您可變更預設的設定和管理使用者權益,以及新增使用者或使用者群組。
    1. 將識別提供者配置為應用程式來源後,便可為各個第三方識別提供者建立相關的應用程式。在您完成定義索引標籤上的選項後,您可以從組態索引標籤中的驗證類型下拉式功能表中選取 OKTA
    2. 您可將應用程式來源的使用權益設為所有使用者,或是新增使用者/使用者群組。依照預設,如果您在配置應用程式來源時選擇了儲存和指派,便會將應用程式來源的使用權益設為所有使用者