Single Sign-On mobile per Android in VMware Workspace ONE. SET 2018 VMware Workspace ONE VMware Identity Manager VMware Identity Manager 3.

Transcript

1 Single Sign-On mobile per Android in VMware Workspace ONE SET 2018 VMware Workspace ONE VMware Identity Manager VMware Identity Manager 3.3

2 È possibile trovare la documentazione tecnica più aggiornata sul sito Web di VMware all'indirizzo: Il sito Web di VMware fornisce, inoltre, gli ultimi aggiornamenti di prodotto. In caso di commenti sulla presente documentazione, inviare un messaggio all'indirizzo: VMware, Inc Hillview Ave. Palo Alto, CA VMware, Inc. Centro Leoni Palazzo A Via Spadolini 5 Ground Floor Milan, MI tel: fax: Copyright 2018 VMware, Inc. Tutti i diritti riservati. Informazioni sul copyright e sul marchio commerciale. VMware, Inc. 2

3 Sommario 1 Implementazione dell'autenticazione Single Sign-On mobile per dispositivi Android gestiti da Workspace ONE UEM 4 Dispositivo Android supportato 4 Opzioni di configurazione dell'autenticazione Single Sign-On mobile per dispositivi Android 5 Configurazione delle impostazioni di VMware Tunnel dalla console di Workspace ONE UEM 6 Configurazione del profilo Per-App per Android 8 Abilitazione di VPN per app per applicazioni Android 9 Configurazione delle regole di accesso alla rete in Workspace ONE UEM 10 2 Configurazione del certificato di autenticazione per SSO mobile (per Android) 13 Autorità di certificazione richiesta per l'autenticazione con i dispositivi Android 13 Utilizzo del controllo della revoca del certificato 13 Configurazione di SSO mobile per l'autenticazione di Android nel provider di identità integrato 15 Aggiunta di regole dei criteri di accesso 17 3 Configurazione del servizio proxy certificato nelle macchine VMware Identity Manager 19 PassThrough SSL o riesecuzione della crittografia nel servizio proxy certificato 19 Requisiti del bilanciamento del carico per l'utilizzo del servizio proxy certificato 21 Funzionamento dei certificati con il servizio proxy certificato 22 Configurazione del proxy certificato per VMware Identity Manager 22 4 Flusso di approvazione dell'autenticazione tramite proxy certificato per l'autenticazione Single Sign-On di Android 25 VMware, Inc. 3

4 Implementazione dell'autenticazione Single Sign- On mobile per dispositivi Android gestiti da Workspace ONE UEM 1 Single Sign-On (SSO) mobile per Android è un'implementazione del metodo di autenticazione del certificato per dispositivi Android gestiti da VMware Workspace ONE UEM (Unified Endpoint Management). Single Sign-On mobile consente agli utenti di accedere al proprio dispositivo ed effettuare l'accesso sicuro alle app VMware Workspace ONE senza dover reimmettere una password. L'app mobile VMware Tunnel è installata sul dispositivo Android per aggiungere informazioni sui certificati e l'id dispositivo nei flussi di autenticazione. Le impostazioni di Tunnel sono configurate per accedere al servizio VMware Identity Manager per l'autenticazione e il servizio VMware Identity Manager recupera il certificato dal dispositivo per l'autenticazione. Quando si implementa SSO mobile per Android con il servizio VMware Identity Manager in locale, si configura il servizio proxy certificato nel servizio VMware Identity Manager. Dopo aver configurato il servizio proxy certificato, è possibile configurare l'autenticazione del certificato nel provider di identità integrato VMware Identity Manager dalla console di VMware Identity Manager. Durante l'implementazione di SSO mobile per Android con il servizio VMware Identity Manager nel cloud, è possibile configurare l'autenticazione del certificato nel provider di identità integrato VMware Identity Manager dalla console di Identity Manager. Il servizio proxy certificato viene gestito per l'utente. Questo capitolo include i seguenti argomenti: Dispositivo Android supportato Opzioni di configurazione dell'autenticazione Single Sign-On mobile per dispositivi Android Configurazione delle impostazioni di VMware Tunnel dalla console di Workspace ONE UEM Configurazione del profilo Per-App per Android Abilitazione di VPN per app per applicazioni Android Configurazione delle regole di accesso alla rete in Workspace ONE UEM Dispositivo Android supportato È supportato Android 5.1 o versioni successive. Le applicazioni a cui si accede da un dispositivo Android devono supportare SAML o un altro standard di federazione supportato per il Single Sign-On. VMware, Inc. 4

5 Opzioni di configurazione dell'autenticazione Single Sign- On mobile per dispositivi Android L'autenticazione Single Sign-On mobile per i dispositivi Android può essere configurata in modo da ignorare il server Tunnel quando non è necessario accedere alla VPN. Per il Single Sign-On, è necessaria solo l'app mobile Tunnel. Single Sign-On mobile senza accesso alla VPN L'autenticazione Single Sign-On mobile per i dispositivi Android può essere configurata in modo da ignorare il server Tunnel quando non è necessario accedere alla VPN. L'implementazione dell'autenticazione SSO mobile per Android senza una VPN usa le stesse pagine di configurazione utilizzate per la configurazione di VMware Tunnel. Poiché non si sta installando il server Tunnel, non inserire il nome host e la porta del server VMware Tunnel. Creare invece un profilo fittizio mediante il modulo del profilo VMware Tunnel. Questo profilo fittizio impedisce che il traffico venga indirizzato al server Tunnel. L'app mobile Tunnel viene utilizzata solo per Single Sign-On. Nella console di Workspace ONE UEM, configurare le impostazioni seguenti. Componente Tunnel per app in VMware Tunnel. Questa configurazione consente ai dispositivi Android di accedere alle app pubbliche gestite tramite il client dell'app mobile VMware Tunnel. Profilo Tunnel per app. Questo profilo è utilizzato per attivare le funzionalità di tunneling per app per Android. Poiché il server Tunnel non viene configurato, nella pagina delle regole del traffico di rete, selezionare l'opzione per ignorare il server Tunnel in modo che il traffico non venga indirizzato a tale server. Creare regole del traffico del dispositivo con un elenco di tutte le applicazioni configurate per la VPN per app, i dettagli del server proxy e l'url di VMware Identity Manager. Single Sign-On mobile con accesso alla VPN Se l'applicazione configurata per Single Sign-On viene utilizzata anche per accedere alle risorse della rete Intranet protette dal firewall, configurare l'accesso alla VPN e il server Tunnel. Se si configura Single Sign-On con la VPN, il client Tunnel può facoltativamente instradare il traffico dell'applicazione e le richieste di accesso tramite il server Tunnel. Anziché la configurazione predefinita utilizzata per il client Tunnel nella console in modalità Single Sign-On, la configurazione punta al server Tunnel. L'implementazione dell'autenticazione SSO mobile (per Android) per dispositivi Android gestiti richiede la configurazione di VMware Tunnel nella console di Workspace ONE UEM e l'installazione del server VMware Tunnel prima di configurare SSO mobile (per Android) nella console di VMware Identity Manager. Il servizio VMware Tunnel fornisce accesso VPN per app alle applicazioni gestite da Workspace ONE UEM. VMware Tunnel consente inoltre di usare un proxy per il traffico da un'applicazione mobile al servizio VMware Identity Manager per Single Sign-On. VMware, Inc. 5

6 Nella console di Workspace ONE UEM, configurare le seguenti impostazioni. Componente Tunnel per app in VMware Tunnel. Questa configurazione consente ai dispositivi Android di accedere alle applicazioni interne e pubbliche gestite tramite il client dell'app mobile VMware Tunnel. Dopo aver configurato le impostazioni di Tunnel nella console di Workspace ONE UEM, scaricare il programma di installazione di VMware Tunnel e procedere con l'installazione del server. Profilo VPN per Android. Questo profilo è utilizzato per attivare le funzionalità di tunneling per app per Android. Abilitare la VPN per ogni app che utilizza la funzionalità di tunneling dell'applicazione nella console di Workspace ONE UEM. Creare regole del traffico del dispositivo con un elenco di tutte le applicazioni configurate per la VPN per app, i dettagli del server proxy e l'url di VMware Identity Manager. Per informazioni dettagliate sull'installazione e la configurazione di VMware Tunnel, vedere la guida di VMware Tunnel nella pagina della documentazione di VMware Workspace ONE UEM. Configurazione delle impostazioni di VMware Tunnel dalla console di Workspace ONE UEM L'attivazione del componente Tunnel per app nelle impostazioni di VMware Tunnel consente di configurare la funzionalità di tunnelling per app per i dispositivi Android. Il tunneling per app consente alle app pubbliche gestite e interne di accedere alle risorse dell'azienda in base alle singole app. Nota Se si sta configurando il Single Sign-On per i soli dispositivi Android e non si utilizza l'accesso VPN, nella pagina Dettagli immettere valori fittizi per il nome host e la porta, poiché queste informazioni non sono utilizzate per la configurazione del Single Sign-On. Procedura 1 Nella console di Workspace ONE UEM, passare a Sistema > Integrazione aziendale > VMware Tunnel > Configurazione. Se questa è la prima volta che si configura VMware Tunnel, selezionare Configura e seguire le istruzioni della configurazione guidata. In alternativa, selezionare Sostituisci e selezionare la casella di controllo Abilita VMware Tunnel. Quindi fare clic su Configura. 2 Nella pagina Tipo configurazione, abilitare Per-App Tunnel (solo Linux). Scegliere tra la modalità Base e la modalità Cascata. Vedere la Guida di VMware Tunnel per istruzioni sulla scelta del metodo appropriato. Fare clic su Avanti. 3 Nella pagina Dettagli, per la configurazione del tunnelling Per app, immettere il nome host pubblico del nome di dominio completo del server VMware Tunnel e la porta, se si utilizza l'accesso VPN. Fare clic su Avanti. VMware, Inc. 6

7 4 Nella pagina SSL, configurare il certificato SSL del tunneling per app. Per utilizzare un SSL pubblico, selezionare la casella di controllo Utilizza certificato SSL pubblico. Fare clic su Avanti. Un certificato Workspace ONE UEM (AirWatch) può essere generato automaticamente. Se si preferisce utilizzare il certificato SSL pubblico, selezionare la casella di testo e caricare il certificato. Nota I certificati SAN non sono supportati. Verificare che il certificato sia emesso per il nome host del server corrispondente o che sia un certificato con caratteri jolly valido per il dominio corrispondente. 5 Fare clic su Avanti. Il certificato root del dispositivo Tunnel viene generato quando si fa clic su Avanti. 6 Nella pagina Autenticazione, selezionare il tipo di autenticazione con certificato da utilizzare. Fare clic su Avanti. Opzione Predefinito CA aziendale Descrizione Selezionare Predefinito per utilizzare i certificati emessi da Workspace ONE UEM. Viene visualizzato un menu a discesa che elenca l'autorità di certificazione e il modello di certificato configurati. È possibile anche caricare il certificato root della CA. VMware, Inc. 7

8 Se si seleziona CA aziendale, assicurarsi che il modello di CA contenga il nome del soggetto CN={DeviceUid}:{EnrollmentUser}. Assicurarsi di includere il segno di due punti (:). È possibile scaricare i certificati CA dalla pagina di configurazione di VMware Tunnel. Un'altra opzione per specificare l'id del dispositivo consiste nell'inserire un SAN DNS nel certificato con il valore UDID = {DeviceUid}. 7 Fare clic su Avanti. 8 (Facoltativo) Nella pagina Varie, abilitare i registri di accesso per i componenti di Per-App Tunnel. Fare clic su Avanti. 9 Riesaminare il riepilogo della configurazione e fare clic su Salva. Si verrà indirizzati alla pagina di configurazione delle impostazioni di sistema. 10 Selezionare la scheda Configurazione> Generale e fare clic su Scarica Unified Access Gateway. Operazioni successive Configurare le impostazioni di VMware Tunnel per Workspace ONE UEM. Per istruzioni, vedere la documentazione di Unified Access Gateway più recente. Configurazione del profilo Per-App per Android Dopo aver configurato e installato il componente Per-App Tunnel di VMware Tunnel, è possibile configurare il profilo Android VPN e aggiungere una versione al profilo. VMware, Inc. 8

9 Procedura 1 Nella console di Workspace ONE UEM, passare a Dispositivi > Profili > Aggiungi profilo e selezionare Android. 2 Configurare le impostazioni generali per Android, se non già configurate. 3 Nella colonna di sinistra, selezionare VPN e fare clic su Configura. 4 Completare le informazioni sulla connessione VPN. Opzione Tipo di connessione Nome connessione Server Regole VPN per app Descrizione Selezionare VMware Tunnel. Immettere un nome per la connessione. Ad esempio AndroidSSO Configuration. Viene immesso automaticamente l'url del server di VMware Tunnel. Selezionare la casella di controllo Regole VPN per app. 5 Fare clic su Aggiungi versione. 6 Fare clic su Salva e pubblica. Operazioni successive Attivare VPN per app per le applicazioni Android a cui è possibile accedere utilizzando SSO mobile per Android. Vedere Abilitazione di VPN per app per applicazioni Android. Assegnare il profilo dispositivo a un gruppo smart. I gruppi smart sono gruppi personalizzabili che determinano quali piattaforme, dispositivi e utenti ricevono un'applicazione, una rubrica, un criterio di conformità o un profilo di dispositivo assegnato o di quali piattaforme, dispositivi e utenti viene eseguito il provisioning. Abilitazione di VPN per app per applicazioni Android È possibile abilitare l'impostazione Profilo VPN per-app per le applicazioni Android a cui si accede tramite l'autenticazione SSO mobile per Android di VMware Identity Manager. Prerequisiti VMware Tunnel configurato con il componente Per-App Tunnel installato. Profilo VPN per Android creato. Procedura 1 Nella console di Workspace ONE UEM, passare a App e libri > Applicazioni > Native. 2 Selezionare la scheda per il tipo di applicazione, Interni/e, Pubblici/che o Acquistati/e. 3 Selezionare Aggiungi applicazione e aggiungere un'app. 4 Fare clic su Salva e assegna. VMware, Inc. 9

10 5 Nella pagina Assegnazione, selezionare Aggiungi/Modifica assegnazione e passare alla sezione Avanzate. Nella sezione Avanzate, abilitare il tunneling dell'app e nel menu a discesa Profilo VPN per-app, selezionare il profilo VPN Android creato. 6 Fare clic su Salva e pubblica. Attivare VPN per app per ogni applicazione Android a cui si accede con l'autenticazione SSO mobile per Android. La VPN per app è necessaria, mentre il tunneling dei dati dell'app non è obbligatorio. L'app Tunnel viene configurata nel dispositivo come un proxy per le regole del traffico del dispositivo. Per ulteriori informazioni sull'aggiunta o la modifica di app, vedere VMware Workspace ONE UEM Mobile Application Management Guide nella pagina della documentazione di VMware Workspace ONE UEM. Operazioni successive Creare le Regole di accesso alla rete. Vedere Configurazione delle regole di accesso alla rete in Workspace ONE UEM. Configurazione delle regole di accesso alla rete in Workspace ONE UEM Configurare le regole di accesso alla rete affinché il client VMware Tunnel instradi il traffico al proxy HTTPS per dispositivi Android. Elencare le app Android configurate con l'opzione VPN per app nelle regole di accesso e configurare l'indirizzo del server proxy, nonché il nome host di destinazione. Configurare le regole di accesso al dispositivo per controllare in che modo il dispositivo gestisce il traffico proveniente da applicazioni specificate. Le regole di accesso al dispositivo forzano l'app VMware Tunnel a inviare traffico tramite il tunnel, bloccare tutto il traffico verso domini specificati, ignorare la rete interna e connettersi direttamente a Internet o inviare il traffico a un sito proxy web. Per informazioni dettagliate sulla creazione delle regole del traffico di rete, vedere la guida di VMware Tunnel. Prerequisiti VMware Tunnel è configurato con il componente tunnel per app attivato. Profilo VPN per Android creato. VPN per app attivato per ogni app Android aggiunta alle regole di accesso alla rete. Procedura 1 Dalla console di Workspace ONE UEM, passare a Sistema > Integrazione Enterprise > VMware Tunnel > Regole di accesso alla rete. VMware, Inc. 10

11 2 Nella scheda Regole di accesso al dispositivo, configurare le impostazioni delle regole di accesso al dispositivo come descritto nella guida di VMware Tunnel. Nel caso di SSO mobile per Android, configurare le impostazioni seguenti. a Azione predefinita. La regola viene configurata automaticamente e si applica a tutte le applicazioni eccetto Safari. L'azione predefinita è sempre applicata per ultima. Opzione Tunnel Ignora Descrizione Impostare l'azione su Tunnel se l'accesso alla VPN è necessario per SSO Mobile per Android. Tutte le app (tranne Safari) del dispositivo configurate per VPN per app inviano il traffico di rete tramite il tunnel. Se l'accesso alla VPN non è necessario per SSO mobile con Android, impostare l'azione su Bypass. Tutte le app (eccetto Safari) sul dispositivo configurate per VPN per app ignorano il tunnel e si connetteranno direttamente a Internet. Importante Con questa implementazione, non viene inviato traffico al server Tunnel quando il client Tunnel viene utilizzato solo per l'autenticazione Single Sign-On. Dopo che la regola predefinita viene aggiornata e l'azione è impostata su Bypass, viene aggiunta e configurata una regola del traffico di rete per il Single Sign-on Android. b c d e Selezionare Aggiungi per creare eventuali regole aggiuntive come richiesto. Selezionare le frecce verso l'alto e verso il basso per riorganizzare la classificazione delle regole del traffico di rete. La regola predefinita occupa sempre l'ultima posizione. Nella colonna Applicazione, aggiungere le app Android configurate con il profilo VPN per app. Per i tenant in hosting nel cloud, nella colonna Azione, selezionare Proxy e specificare le informazioni sul proxy web. Entrare ad esempio come certproxy.vmwareidentity.<top-leveldomain>:5262. Nella colonna Destinazione del nome host, specificare il nome del VMware Identity Manager di destinazione. Entrare come <tenant>.vmwareidentitymanager.<top-leveldomain>. Ad esempio, myco.vmwareidentity.com. Il client VMware Tunnel instrada il traffico verso il proxy HTTPS dal nome host di VMware Identity Manager. f Per le installazioni locali, nella colonna Azione, selezionare Proxy e specificare le informazioni relative al proxy web. Immettere il nome host VMware Identity Manager e la porta. Ad esempio login.example.com:5262. Nota Per le distribuzioni in locale, se si desidera fornire l'accesso esterno all'host VMware Identity Manager, la porta del firewall 5262 (configurabile) deve essere aperta tra i dispositivi su Internet e l'host VMware Identity Manager consentendo il pass-through SSL TCP livello 4 sul bilanciamento del carico/proxy inverso. VMware, Inc. 11

12 3 Fare clic su Salva. Operazioni successive Pubblicare queste regole. Dopo aver pubblicato le regole, il dispositivo riceve un profilo VPN aggiornato e l'applicazione VMware Tunnel viene configurata per attivare SSO. Passare alla console di VMware Identity Manager e configurare l'sso mobile per Android nella pagina del Fornitore di identità integrato. VMware, Inc. 12

13 Configurazione del certificato di autenticazione per SSO mobile (per Android) 2 È possibile configurare l'autenticazione del certificato per consentire ai client di eseguire l'autenticazione con certificati sui propri dispositivi Android per Single Sign-On in Workspace ONE. Un certificato X.509 utilizza lo standard PKI (Public Key Infrastructure) per verificare che una chiave pubblica contenuta nel certificato appartenga all'utente. Per abilitare l'accesso mediante l'autenticazione del certificato, i certificati root e i certificati intermedi devono essere caricati nel servizio VMware Identity Manager. Questo capitolo include i seguenti argomenti: Autorità di certificazione richiesta per l'autenticazione con i dispositivi Android Utilizzo del controllo della revoca del certificato Configurazione di SSO mobile per l'autenticazione di Android nel provider di identità integrato Aggiunta di regole dei criteri di accesso Autorità di certificazione richiesta per l'autenticazione con i dispositivi Android Per abilitare l'accesso mediante l'autenticazione con certificato, i certificati root e i certificati intermedi devono essere caricati nel servizio VMware Identity Manager. I certificati intermedi (utente) vengono copiati nell'archivio certificati locale nel dispositivo Android. I certificati nell'archivio certificati locale sono disponibili per tutti i browser in esecuzione sul dispositivo Android, con alcune eccezioni, e quindi anche per un'istanza di VMware Identity Manager nel browser. Se un utente non è in grado di eseguire l'autenticazione, è possibile che l'autorità di certificazione root e l'autorità di certificazione intermedia non siano configurate correttamente o che il servizio non sia stato riavviato dopo che le autorità di certificazione root e intermedia sono state caricate nel server. In questi casi, il browser non può mostrare i certificati installati, l'utente non può selezionare il certificato corretto e l'autenticazione con certificato non riesce. Utilizzo del controllo della revoca del certificato È possibile configurare il controllo della revoca del certificato per impedire l'autenticazione degli utenti il cui certificato è stato revocato. Spesso i certificati vengono revocati quando un utente abbandona un'organizzazione, perde una smart card o passa da un reparto all'altro. VMware, Inc. 13

14 Sono supportati due tipi di controllo della revoca del certificato, ovvero tramite gli elenchi di revoche di certificati (CRL) e tramite il Protocollo di stato del certificato online (OCSP). Un CRL è un elenco di certificati revocati pubblicato dall'autorità di certificazione che ha emesso i certificati. OCSP è un protocollo di convalida del certificato utilizzato per ottenere lo stato di revoca di un certificato. È possibile configurare sia l'elenco CRL che il protocollo OCSP nella stessa configurazione della scheda di autenticazione del certificato. Quando si configurano entrambi i tipi di controllo della revoca del certificato e la casella di controllo Usa CRL in caso di errore OCSP è selezionata, viene controllato prima il protocollo OCSP e, in caso di esito negativo, il controllo della revoca viene affidato a CRL. In caso di esito negativo di CRL, il controllo della revoca non esegue il fallback a OCSP. Accesso con il controllo CRL Quando si abilita la revoca del certificato, il server VMware Identity Manager connettore legge un CRL per stabilire lo stato della revoca di un certificato utente. Se un certificato risulta revocato, l'autenticazione tramite il certificato non riesce. Accesso con il controllo del certificato OCSP OCSP (Online Certificate Status Protocol) è un'alternativa agli elenchi di revoche di certificati (CRL) che vengono utilizzati per eseguire un controllo della revoca del certificato. Quando si configura l'autenticazione basata su certificato, se le opzioni Abilita revoca certificato e Abilita revoca OCSP sono entrambe abilitate, VMware Identity Manager convalida l'intera catena di certificati, compresi il certificato primario, il certificato intermedio e certificato root. Il controllo della revoca non viene eseguito correttamente se il controllo di un certificato qualsiasi nella catena non riesce o la chiamata all'url di OCSP non riesce. L'URL di OCSP può essere configurato manualmente nella casella di testo o estratto dall'estensione AIA (Authority Information Access) del certificato in corso di convalida. L'opzione OCSP selezionata quando si configura l'autenticazione del certificato determina in che modo VMware Identity Manager utilizza l'url di OCSP. Solo configurazione. Esegue il controllo della revoca del certificato utilizzando l'url dell'ocsp specificato nella casella di testo per convalidare l'intera catena di certificati. Ignorare le informazioni contenute nell'estensione AIA del certificato. La casella di testo URL OCSP deve inoltre essere configurata con l'indirizzo del server OCSP per il controllo della revoca. Solo certificato (obbligatorio). Esegue il controllo della revoca del certificato utilizzando l'url dell'ocsp esistente nell'estensione AIA di ogni certificato nella catena. L'impostazione nella casella di testo URL OCSP viene ignorata. Tutti i certificati nella catena devono disporre di un URL dell'ocsp definito. In caso contrario, il controllo della revoca del certificato non riesce. VMware, Inc. 14

15 Solo certificato (facoltativo). Esegue solo il controllo della revoca del certificato utilizzando l'url dell'ocsp esistente nell'estensione AIA del certificato. Non esegue il controllo della revoca se l'url dell'ocsp non esiste nell'estensione AIA del certificato. L'impostazione nella casella di testo URL OCSP viene ignorata. Questa configurazione è utile quando si desidera controllare la revoca, ma alcuni certificati intermedi o root non contengono l'url di OCSP nell'estensione AIA. con fallback alla configurazione. Esegue il controllo della revoca del certificato utilizzando l'url dell'ocsp estratto dall'estensione AIA di ogni certificato nella catena quando l'url dell'ocsp è disponibile. Se l'url dell'ocsp non è presente nell'estensione AIA, controlla la revoca utilizzando l'url dell'ocsp configurato nella casella di testo URL OCSP. La casella di testo URL OCSP deve essere configurata con l'indirizzo del server OCSP. Configurazione di SSO mobile per l'autenticazione di Android nel provider di identità integrato Per fornire l'autenticazione SSO (Single Sign-On) da dispositivi Android gestiti da Workspace ONE UEM, è necessario configurare l'autenticazione SSO mobile (per Android) nel provider di identità integrato di VMware Identity Manager. Prerequisiti Ottenere il certificato root e i certificati intermedi dall'autorità di certificazione che ha firmato i certificati presentati dagli utenti. Elenco di identificatori oggetto (OID) di criteri di certificato validi per l'autenticazione del certificato. Per il controllo della revoca, la posizione del file del CRL e l'url del server OCSP. (Facoltativo) La posizione del file del certificato Firma risposta OCSP. Procedura 1 Nella scheda Gestione identità e accessi della console di VMware Identity Manager, selezionare Gestione > Metodi di autenticazione. 2 Per abilitare e configurare CertProxyAuthAdapter, fare clic sull'icona a forma di matita SSO mobile (per Android). Opzione Abilita adattatore certificato Certificati CA intermedi e root Certificati CA caricati Ordine di ricerca ID utente Descrizione Selezionare questa casella di controllo per abilitare SSO mobile per Android. Selezionare i file di certificato da caricare. È possibile selezionare più certificati radice e intermedi dell'autorità di certificazione codificati. I formati file supportati sono PEM e DER. Mostra il contenuto del file di certificato caricato. Selezionare l'ordine di ricerca per individuare l'id utente nel certificato. upn. Valore UserPrincipalName del nome alternativo del soggetto. . Indirizzo di posta elettronica del nome alternativo del soggetto. soggetto. Valore UID del soggetto. Convalida formato UPN Abilitare questa casella di controllo per convalidare il formato del campo UserPrincipalName. VMware, Inc. 15

16 Opzione Criteri dei certificati accettati Abilita revoca certificato Usa CRL dai certificati Posizione CRL Abilita revoca OCSP Usa CRL in caso di errore OCSP Invia nonce OCSP URL OCSP Origine URL OCSP della firma del risponditore OCSP Certificati di firma OCSP caricati Descrizione Creare un elenco di identificatori di oggetto accettati nelle estensioni dei criteri di certificato. Immettere il numero OID (Object ID Number) per il criterio di emissione dei certificati. Fare clic su Aggiungi un altro valore per aggiungere altri OID. Selezionare la casella di controllo per abilitare il controllo della revoca del certificato. In questo modo si impedirà l'autenticazione degli utenti che hanno certificati revocati. Selezionare la casella di controllo per utilizzare l'elenco di revoche di certificati (CRL) pubblicato dall'autorità di certificazione che ha emesso i certificati per convalidare lo stato, revocato o non revocato, di un certificato. Immettere il percorso del file server o del file locale dal quale recuperare l'elenco di revoche di certificati. Selezionare questa casella di controllo per utilizzare il protocollo di convalida del certificato OCSP (Online Certificate Status Protocol) per ottenere lo stato della revoca di un certificato. Se si configurano sia CRL che OCSP, è possibile selezionare questa casella di controllo per eseguire il fallback a CRL se il controllo OCSP non è disponibile. Selezionare questa casella di controllo se si desidera inviare l'identificativo univoco della richiesta OCSP nella risposta. Se la revoca OCSP è stata abilitata, immettere l'indirizzo del server OCSP per il controllo della revoca. Selezionare l'origine da utilizzare per il controllo della revoca. Solo configurazione. Esegue il controllo della revoca del certificato utilizzando l'url dell'ocsp specificato nella casella di testo per convalidare l'intera catena di certificati. Solo certificato (obbligatorio). Esegue il controllo della revoca del certificato utilizzando l'url dell'ocsp esistente nell'estensione AIA di ogni certificato nella catena. Tutti i certificati nella catena devono disporre di un URL dell'ocsp definito. In caso contrario, il controllo della revoca del certificato non riesce. Solo certificato (facoltativo). Esegue solo il controllo della revoca del certificato utilizzando l'url dell'ocsp esistente nell'estensione AIA del certificato. Non esegue il controllo della revoca se l'url dell'ocsp non esiste nell'estensione AIA del certificato. con fallback alla configurazione. Esegue il controllo della revoca del certificato utilizzando l'url dell'ocsp estratto dall'estensione AIA di ogni certificato nella catena quando l'url dell'ocsp è disponibile. Se l'url dell'ocsp non è presente nell'estensione AIA, controlla la revoca utilizzando l'url dell'ocsp configurato nella casella di testo URL OCSP. La casella di testo URL OCSP deve essere configurata con l'indirizzo del server OCSP. Immettere il percorso del certificato OCSP del risponditore. Utilizzare la forma /path/to/file.cer I file di certificato caricati sono elencati in questa sezione. VMware, Inc. 16

17 Opzione Abilita collegamento per annullamento Messaggio di annullamento Descrizione Quando l'autenticazione impiega troppo tempo, se questo collegamento è abilitato, gli utenti possono fare clic su Annulla per interrompere il tentativo di autenticazione e annullare l'accesso. Creare un messaggio personalizzato che verrà visualizzato nel caso in cui l'autenticazione stia impiegando troppo tempo. Se non si crea un messaggio personalizzato, il messaggio predefinito è Attempting to authenticate your credentials. 3 Fare clic su Salva. 4 Selezionare Gestione > Provider di identitàe fare clic su Aggiungi provider di identità. 5 Selezionare Crea provider di identità integrato o selezionare un provider di identità integrato esistente. Opzione Nome del provider di identità Utenti Rete Metodi di autenticazione Esportazione certificato KDC Descrizione Immettere il nome per l'istanza di questo provider di identità integrato. Vengono elencate le directory configurate. Selezionare la directory di utenti di cui eseguire l'autenticazione. Sono elencati gli intervalli di rete esistenti configurati nel servizio. L'intervallo di rete utilizzato nella regola del criterio per SSO mobile (per Android) deve essere composto solo dagli indirizzi IP utilizzati per ricevere richieste provenienti dal server proxy VMware Tunnel. Selezionare SSO mobile (per Android). N/D 6 Fare clic su Aggiungi nella pagina del provider di identità integrato. Operazioni successive Configurare la regola del criterio di accesso predefinito per SSO mobile per Android. Aggiunta di regole dei criteri di accesso È necessario modificare le regole dei criteri predefinite per aggiungere il metodo di autenticazione SSO mobile (per Android) configurato. Per ulteriori informazioni sulla configurazione delle regole dei criteri, vedere l'argomento relativo alla gestione dei criteri di accesso nella guida all'amministrazione di VMware Identity Manager. Procedura 1 Nella scheda Gestione identità e accessi della console di VMware Identity Manager, selezionare Gestione > Criteri. 2 Fare clic su Modifica criterio predefinito e fare clic su Avanti. VMware, Inc. 17

18 3 Aggiungere una nuova regola dei criteri e fare clic su Aggiungere una regola al criterio. Opzione Se l'intervallo di rete di un utente è e l'utente accede al contenuto da e l'utente appartiene al gruppo o ai gruppi Eseguire questa azione l'utente può eseguire l'autenticazione mediante Se il metodo precedente non riesce o non è applicabile, Nuova autenticazione dopo Descrizione Selezionare l'intervallo di rete per questa regola del criterio. Selezionare Android. Se questa regola di accesso verrà applicata a gruppi specifici, cercare i gruppi nella casella di ricerca. Se non si seleziona alcun gruppo, il criterio di accesso viene applicato a tutti gli utenti. Selezionare Esegui autenticazione mediante... Selezionare SSO mobile (per Android). Configurare metodi di autenticazione di fallback aggiuntivi. Selezionare la durata della sessione, trascorsa la quale gli utenti dovranno eseguire nuovamente l'autenticazione. 4 (Facoltativo) In Proprietà avanzate, creare un messaggio di errore di accesso negato personalizzato da visualizzare quando l'autenticazione di un utente ha esito negativo. È possibile utilizzare fino a caratteri, ovvero circa 650 parole. Se si desidera portare gli utenti su un'altra pagina, inserire l'indirizzo del collegamento URL nella casella di testo URL collegamento errore personalizzato. Nella casella di testo Testo collegamento errore personalizzato, immettere il testo per descrivere il collegamento di errore personalizzato. Questo testo rappresenta il collegamento. Se si lascia vuota questa casella di testo, viene visualizzata la parola Continua come collegamento. 5 Fare clic su Salva. 6 Trascinare questa regola prima della regola Browser Web nell'elenco delle regole dei criteri di accesso predefinite. 7 Fare clic su Avanti per rivedere le regole e quindi fare clic su Salva. VMware, Inc. 18

19 Configurazione del servizio proxy certificato nelle macchine VMware Identity Manager 3 Per le distribuzioni locali di VMware Identity Manager, il servizio proxy certificato deve essere impostato nelle macchine VMware Identity Manager per configurare l'autenticazione Single Sign-On mobile per i dispositivi Android. Il servizio proxy certificato VMware Identity Manager viene installato per impostazione predefinita quando si installa VMware Identity Manager. È necessario abilitare e configurare il servizio proxy certificato di VMware Identity Manager nelle appliance virtuali dopo aver installato il servizio VMware Identity Manager. Per impostazione predefinita, il servizio proxy certificato è abilitato nelle macchine Windows. Questo capitolo include i seguenti argomenti: PassThrough SSL o riesecuzione della crittografia nel servizio proxy certificato Requisiti del bilanciamento del carico per l'utilizzo del servizio proxy certificato Funzionamento dei certificati con il servizio proxy certificato Configurazione del proxy certificato per VMware Identity Manager PassThrough SSL o riesecuzione della crittografia nel servizio proxy certificato Per l'autenticazione del certificato Android, il servizio proxy certificato viene eseguito nel nodo di VMware Identity Manager come servizio indipendente per la ricezione di connessioni sulla porta 5262 e per fungere da proxy per le connessioni al servizio VMware identity Manager sulla porta 443 per l'autenticazione. Il traffico HTTPS 443 per VMware Identity Manager può essere impostato sull'offload di SSL di livello 7 nel bilanciamento del carico o nel proxy inverso oppure consentito come PassThrough SSL come TCP di livello 4 nel server di back-end. Quando il traffico 443 è configurato con PassThrough SSL, i certificati pubblicamente attendibili sono condivisi tra il servizio VMware Identity Manager sulla porta 443 e il servizio CertProxy sulla porta Non è necessaria alcuna configurazione aggiuntiva. Se per il traffico HTTPS viene eseguito l'offload SSL nel bilanciamento del carico o nel proxy inverso, il servizio VMware Identity Manager utilizza un certificato autofirmato generato durante il processo di installazione dell'applicazione. Poiché la porta 5262 deve essere impostata su TCP SSL di livello 4 con PassThrough SSL che richiede un certificato SSL pubblicamente attendibile, si verifica una mancata corrispondenza di certificati tra i due servizi in esecuzione nell'host. Per evitare questo problema, il VMware, Inc. 19

20 servizio CertProxy richiede una porta secondaria 5263 configurata nel server. La porta 5263 condivide lo stesso certificato autofirmato di quello in esecuzione nel servizio VMware Identity Manager. La configurazione della porta aggiuntiva 5263 consente di garantire la sicurezza e l'affidabilità della comunicazione durante tutto il processo SSO mobile per Android, consentendo al tempo stesso la decrittografia del traffico HTTPS nel bilanciamento del carico. Scelta tra la riesecuzione della crittografia SSL e l'offloading SSL per il traffico HTTP 443 Di seguito è riportata una tabella utile per configurare il servizio proxy certificato con il servizio VMware Identity Manager. In questa tabella, i certificati SAN sono definiti come un certificato contenente il nome di dominio completo VIP di VMware Identity Manager e il nome di dominio completo di ogni macchina del nodo. Il nome di dominio completo è nel formato di un dominio/sottodominio non instradabile. In base alla configurazione di VMware, utilizzare la tabella per stabilire se la porta 5263 sia configurata. Tabella 3 1. Tabella per la configurazione del proxy certificato Spazio dei nomi pubblico Spazio dei nomi DMZ Tipo di certificato Spazio dei nomi condiviso (.com /.com) Requisiti del bilanciamento del carico Porta del proxy certificato 5263 obbligatoria example.com example.com Carattere jolly, SAN Riesecuzione della crittografia SSL obbligatoria example.com example.com CN host singolo Riesecuzione della crittografia SSL obbligatoria example.com example.com Carattere jolly, SAN PassThrough SSL obbligatorio No Sì No Spazio dei nomi indipendente (.com /.dmz) example.com example.dmz Carattere jolly, CN host singolo Riesecuzione della crittografia SSL obbligatoria Sì example.com example.dmz SAN Riesecuzione della crittografia SSL obbligatoria example.com example.dmz SAN PassThrough SAN obbligatorio No No VMware, Inc. 20

21 Figura 3 1. Configurazione della porta del proxy VMware Identity Manager in DMZ con la sola porta 5262 configurata DMZ Bilanciamento del carico pubblicamente attendibile VMware Identity Manager 01 pubblicamente attendibile VMware Identity Manager 02 pubblicamente attendibile VMware Identity Manager 03 Figura 3 2. DMZ Bilanciamento del carico pubblicamente attendibile pubblicamente attendibile pubblicamente attendibile 5263 emesso internamente VMware Identity Manager emesso internamente VMware Identity Manager emesso internamente VMware Identity Manager 03 Requisiti del bilanciamento del carico per l'utilizzo del servizio proxy certificato Quando i nodi di VMware Identity Manager sono configurati nel DMZ dietro un bilanciamento del carico, tutti i nodi devono essere configurati per comunicare tra loro. Le regole del firewall sono configurate per consentire ai nodi di comunicare tra loro sulla porta VMware, Inc. 21

22 Per il corretto indirizzamento delle richieste da parte del servizio proxy certificato, il bilanciamento del carico deve essere configurato come indicato di seguito. Possibilità di eseguire nuovamente la crittografia SSL. pubblicamente attendibile installato nel bilanciamento del carico. Intestazione X-Forwarded-For abilitata. Intestazione RemotePort abilitata. Porta 443 configurata con un certificato autofirmato in ciascun nodo. Porta 5262 configurata per il servizio proxy certificato, con PassThrough SSL configurato per l'autenticazione del certificato. Handshake SSL impostato tra il dispositivo e il servizio. Porta 5263 configurata come un'altra istanza del servizio proxy certificato per ricevere richieste amministrative interne dal servizio. Funzionamento dei certificati con il servizio proxy certificato Per l'autenticazione del certificato, vengono utilizzati due livelli di certificati, ovvero il certificato nel dispositivo e il certificato per il servizio VMware Identity Manager sulla porta 443. Nel bilanciamento del carico viene configurato un certificato pubblicamente attendibile. Se si esegue nuovamente la crittografia SSL, in ogni nodo è necessario il certificato autofirmato. Quando è configurato il PassThrough SSL, in ogni nodo è necessario un certificato emesso internamente che includa nomi alternativi del soggetto (SAN) per tutti gli host nel cluster. Il SAN con i nomi host consente a tutti i nodi del cluster di effettuare richieste l'uno all'altro. Configurazione del proxy certificato per VMware Identity Manager Le impostazioni del proxy certificato devono essere configurate nel servizio VMware Identity Manager per gestire le richieste di SSO mobile per Android. Prerequisiti Bilanciamento del carico configurato correttamente. Certificati caricati nel servizio VMware Identity Manager. VMware Identity Manager per Linux, il servizio proxy certificato in esecuzione. Procedura 1 Accedere alla console di VMware Identity Manager e selezionare la scheda Impostazioni appliance. 2 Fare clic su SSO mobile. VMware, Inc. 22

23 3 Configurare le impostazioni del proxy certificato per le richieste di SSO mobile per Android nel servizio VMware Identity Manager. Opzione Destinazione forzata Destinazione Tutte le intestazioni RemotePort Accetta RemotePort da Descrizione Quando è selezionata l'opzione Destinazione forzata, nella casella di testo Destinazione è necessario specificare un singolo nome host o indirizzo IP. Tutte le richieste SSO di Android vengono inviate a tale destinazione. Questa destinazione è il bilanciamento del carico o localhost, a seconda della configurazione di VMware Identity Manager. Se è abilitata l'opzione Destinazione forzata, immettere il nome host o l'indirizzo IP da utilizzare. In caso contrario, immettere l'elenco di destinazioni approvate che possono ricevere richieste SSO di Android. Gli indirizzi nell'elenco possono essere separati da punto e virgola in formato CIDR, in formato subnet separandoli con uno spazio o come singolo indirizzo IP. Abilitare l'uso dell'intestazione RemotePort dal bilanciamento del carico. Il numero di porta di origine della richiesta dal proxy al servizio Identity Manager viene aggiunto all'intestazione. L'intestazione RemotePort è necessaria nella connessione per indicare al nodo ricevente dove effettuare la chiamata per ottenere il certificato. Immettere un elenco di indirizzi approvati che possono includere l'intestazione RemotePort. Gli indirizzi nell'elenco possono essere separati da punto e virgola in formato CIDR, in formato subnet separandoli con uno spazio o come singolo indirizzo IP. 4 Verificare che il valore hash per Chiave proxy certificato e quello per Chiave proxy certificato (Identity Manager) siano uguali. Controllare i file di configurazione cert-proxy.properties e runtimeconfig.properties. Queste due caselle di testo vengono prepopolate con il valore hash delle chiavi del certificato del servizio proxy certificato e del servizio VMware Identity Manager. Gli hash devono corrispondere. In caso contrario, è possibile risolvere il problema nei file di configurazione copiando il valore di un servizio nell'altro. VMware, Inc. 23

24 5 Impostare la configurazione del proxy certificato per SSO Android tramite il servizio VMware Identity Manager. Opzione Porta Porta di amministrazione Tipo di certificato SSL Descrizione Per il proxy certificato vengono in genere configurate due porte. La porta 5262 riceve la richiesta esterna dal dispositivo Android. La porta 5263 riceve la richiesta amministrativa interna dal servizio VMware Identity Manager. Se il numero di porta configurato nella casella di testo Porta corrisponde alla porta che riceve la richiesta interna dal servizio VMware Identity Manager per il certificato, abilitare Porta di amministrazione. La porta è in genere la Se la porta non viene utilizzata per ricevere la richiesta interna, non abilitare questo pulsante di opzione. Il proxy certificato di SSO per Android è un servizio distinto nella macchina Identity Manager. Selezionare PassThrough per riutilizzare il certificato PassThrough di cui è stato eseguito il provisioning per VMware Identity Manager in Impostazioni appliance > pagina Installa certificati SSL. Se è necessario un certificato diverso, selezionare Personalizzato e caricare il certificato nella casella di testo Catena di certificati SSL. 6 Per configurare un'altra porta, fare clic su Aggiungi porta e configurare le impostazioni come descritto nel passaggio 5. 7 Per salvare la configurazione della porta, fare clic su Salva. 8 Quando in questa pagina si apportano modifiche che influiscono sui certificati, fare clic su Riavvia servizio proxy certificato nella parte superiore della pagina. Quando si fa clic su Riavvia proxy certificato potrebbe essere necessario riavviare il servizio VMware Identity Manager. Operazioni successive Configurare il servizio proxy certificato in ciascun nodo. Se il servizio proxy certificato viene configurato nella prima macchina, quando si clona il servizio Identity Manager nell'appliance o si copiano i file in una macchina Windows, viene configurata la maggior parte delle impostazioni del proxy. Per verificare che le impostazioni del proxy certificato siano impostate correttamente, è possibile controllare il file runtimeconfig.properties. VMware, Inc. 24

25 Flusso di approvazione dell'autenticazione tramite proxy certificato per l'autenticazione Single Sign-On di Android 4 Quando la console di Workspace ONE UEM e la console di VMware Identity Manager sono configurate per l'autenticazione SSO mobile (per Android), le regole del traffico di rete sono state configurate in modo che l'app mobile VMware Tunnel instradi il traffico verso la porta Quando gli utenti utilizzano i dispositivi Android per avviare un'app SAML che richiede Single Sign-On, l'app Tunnel intercetta la richiesta e, in base alle regole del traffico del dispositivo, stabilisce un tunnel proxy verso la porta del proxy certificato Il diagramma seguente illustra il flusso di approvazione dell'autenticazione quando il servizio proxy certificato è configurato con entrambe le porte 5262 e VMware, Inc. 25

26 Figura 4 1. Flusso di approvazione dell'autenticazione per Single Sign-On mobile di Android con le porte 5262 e 5263 configurate Dispositivo Android App SaaS DMZ Bilanciamento del carico emesso internamente pubblicamente attendibile emesso internamente pubblicamente attendibile emesso internamente pubblicamente attendibile VMware Identity Manager 01 VMware Identity Manager 02 VMware Identity Manager /some/path/55563 Flusso di autenticazione con le porte 5262 e 5263 configurate per il proxy certificato. 1 L'utente avvia un'app SAML da un dispositivo mobile Android. 2 L'app SAML richiede l'autenticazione. 3 Per accedere all'app, è necessaria l'autenticazione di Identity Manager sulla porta Le regole del traffico di rete sono configurate in modo che l'app VMware Tunnel instradi il traffico verso la porta L'app Tunnel intercetta la richiesta e, in base alle regole del traffico del dispositivo, stabilisce un tunnel proxy verso la porta del proxy certificato Il bilanciamento del carico è configurato con PassThrough SSL sulla porta 5262 e il bilanciamento del carico passa la richiesta alla porta del proxy certificato 5262 in uno dei nodi nel cluster. 6 Il servizio proxy certificato riceve la richiesta, estrae il certificato dell'utente e lo archivia come file locale mediante il numero di porta dell'origine della richiesta, ad esempio la porta 55563, come chiave di riferimento. VMware, Inc. 26

27 7 Il servizio proxy certificato inoltra la richiesta a VMware Identity Manager per l'autenticazione sulla porta 443 nel bilanciamento del carico. L'indirizzo IP del nodo di invio, il nodo 2 in questo esempio, è incluso nell'intestazione X-Forwarded-For e le informazioni del numero di porta di origine della richiesta originale (porta 55563) sono incluse nell'intestazione RemotePort. 8 Il bilanciamento del carico invia una richiesta alla porta 443 in uno dei nodi in base alle regole del bilanciamento del carico, il nodo 1 in questo esempio. Questa richiesta include le intestazioni X- Forwarded-For e RemotePort. 9 La porta 443 del servizio Horizon nel nodo 1 comunica con il servizio proxy certificato sulla porta 5263 del nodo 2, che indirizza il servizio a /some/path/55563 per recuperare il certificato dell'utente ed eseguire l'autenticazione. 10 Il certificato viene recuperato e viene eseguita l'autenticazione dell'utente. VMware, Inc. 27