簡介

熟悉VMware解決方案的讀者應該對Workspace One不陌生,它是一個關於MDM/MAM/UEM和虛擬應用/VDI的整體解決方案,功能非常強大且完整。因為現在VMware把以前的Airwatch、Horizon View、Identity等等關於企業移動解決方案的產品都重新整合在以Workspace ONE名稱的架構下,所以當我們想使用Workspace ONE時,從官網上會看到以下這些的版本分類:

PIV-D

這個管理套件裡面包含了許多不同的版本,其中VMware PIV-D Manager的功能是在每個版本都可使用的,但這是什麼又應該如何啟用這個功能呢?

PIV是Personal Identification Verification的簡稱,相信大家都知到以前針對資訊安全存取要求較高的場景,會要求使用者額外再用智慧卡登入電腦,這樣的使用狀況對一般的電腦比較容易實現,因為絕大部分的電腦都支援以USB的方式讀取智慧卡(CAC/Common Access Card, PIV/Personal Identification Verification),而且這種整合是在作業系統層面的整合,所以如果應用程式可以跑在該作業系統上的話,就可和智慧卡類似的驗證方式整合在一起。

但隨著移動裝置的普及,使用者也將之視為主要的企業內部資源存取方式,隨之而來的問題是,在這些移動裝置上如何驗證使用者可以存取受管的資訊和應用程式,以達到和使用電腦一般的要求?

為了滿足此需求,NIST (美國國家標準技術研究所)更新了FIPS 201法規,加進了“Guidelines for Derived Personal Identification Verification (PIV) Credentials.” 這一規範,條文說除了CAC和PIV需要適用於一般電腦外,對於移動裝置也需要能夠產生和使用相對應的Token。這個衍生出來的規範就稱之為derived credential或PIV-D。

VMware PIV-D Manager運作原理

VMware PIV-D Manager可和以下的Derived Credential解決方案提供商做緊密的整合:

  • DISA Purebred
  • Entrust IdentityGuard
  • Intercede MyID
  • XTec
  • VMware AirWatch

VMware PIV-D Manager需求:

  • AirWatch Console v9.2+
  • iOS9+ mobile device
  • VMware PIV-D Manager v1.1 for iOS

啟用方式分成三大步驟:

  1. 在Airwatch Console中將PIV-D新增為Public Application (以iOS裝置為例):

到Apps&Books>Applications>Native>Public選”Add Application”

add PIV-D

選擇Apple iOS,並在App Store中搜尋Application:

Add app store

找到後點選”Select”:

select

 

2. 根據不同的提供商設定PIV-D政策:

選擇”SDK”

sdk

選擇默認的Profile:

default SDK

這裡比較要注意的是要選擇輸入應用程式額外的訊息,選擇”Add Assignment”:

assign

需要新增幾條固定格式的key-value:(請參考這裡的文件)

App value

這樣在Airwatch Console就完成第一步驟了:

published

3. 接下來要將制定好的App和Profile派送PIV-D使用者:

新增一個”Credentials”的裝置Profile,到以下位置設定:

Devices >Profiles & Resources > Profiles > Add >Add Profile

profile

當點擊”Save & Publish”後,使用者的iOS裝置將會開始安裝PIV-D Manager,剛剛的device profile也會被推送至裝置上。

這時使用者在他的終端裝置會有提示,需要做一些操作,使用者只要按照畫面的指示就可完成整個步驟。(不同的提供商有不同的方式)