Guide d'intégration MDM AnyConnect Samsung Knox VPN

Options de téléchargement

  • PDF     (82.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (83.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (68.2 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:3 juin 2019
ID du document:214488

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Contenu

AnyConnect implémente le framework Samsung Knox VPN et est compatible avec le SDK Knox VPN. Il est recommandé d'utiliser Knox version 2.2 et ultérieure avec AnyConnect. Toutes les opérations de IKnoxVpnService sont prises en charge. Pour une description détaillée de chaque opération, veuillez consulter la documentation IKnoxVpnService publiée par Samsung.

Profil JSON VPN Knox

Comme l'exige le framework Knox VPN, chaque configuration VPN est créée à l'aide d'un objet JSON. Cet objet comporte trois sections principales de la configuration :

  1. Attributs généraux - « profile_attribute »
  2. Attributs spécifiques au fournisseur (AnyConnect) - « fournisseur »
  3. Attributs de profil spécifiques à Knox - « knox »

Champs Profile_Attribute pris en charge

  • profileName : nom unique de l'entrée de connexion à afficher dans la liste des connexions de l'écran d'accueil AnyConnect et dans le champ Description de l'entrée de connexion AnyConnect. Nous vous recommandons d'utiliser un maximum de 24 caractères pour vous assurer qu'ils s'insèrent dans la liste des connexions. Utilisez des lettres, des chiffres ou des symboles sur le clavier affiché sur le périphérique lorsque vous saisissez du texte dans un champ. Les lettres sont sensibles à la casse.

  • vpn_type - Protocole VPN utilisé pour cette connexion. Les valeurs valides sont les suivantes :
    • ssl
    • ipsec
  • vpn_route_type - Les valeurs valides sont :
    • 0 - VPN système
    • 1 - VPN par application

Pour plus d'informations sur les attributs de profil courants, reportez-vous au Guide d'intégration des fournisseurs de Samsung KNOX Framework. 

La configuration spécifique d'AnyConnect est spécifiée via la clé "AnyConnectVPNConnection" dans la section « Fournisseur ». Exemple :

{
	"KNOX_VPN_PARAMETERS": {
		"profile_attribute": {
			"profileName": "SSL VPN",
			"vpn_type": "ssl",
			"vpn_route_type": 0
		},
		"vendor": {
			"AnyConnectVPNConnection": {
				"host": "vpn.company.com"
			}
		}
	}
}

Champs AnyConnectVPNConnection pris en charge

  • host : nom de domaine, adresse IP ou URL de groupe de l'ASA avec lequel se connecter. AnyConnect insère la valeur de ce paramètre dans le champ Server Address de l'entrée de connexion AnyConnect.

  • authentication - (facultatif) Ne s'applique que lorsque vpn_type (dans profile_attribute) est défini sur « ipsec ». Spécifie la méthode d'authentification utilisée pour une connexion VPN IPsec Les valeurs valides sont :
    • EAP-AnyConnect (valeur par défaut)
    • EAP-GTC
    • EAP-MD5
    • EAP-MSCHAPv2
    • IKE-PSK
    • IKE-RSA
    • IKE-ECDSA
  • ike-identity - Utilisé uniquement si l'authentification est définie sur EAP-GTC, EAP-MD5 ou EAP-MSCAPv2. Fournit l'identité IKE pour ces méthodes d'authentification.

  • usergroup (facultatif) Profil de connexion (groupe de tunnels) à utiliser lors de la connexion à l'hôte spécifié. S'il est présent, utilisé conjointement avec HostAddress pour former une URL basée sur un groupe. Si vous spécifiez le protocole principal comme IPsec, le groupe d'utilisateurs doit être le nom exact du profil de connexion (groupe de tunnels). Pour SSL, le groupe d'utilisateurs est l'url de groupe ou l'alias de groupe du profil de connexion.

  • certalias (facultatif) : alias KeyChain d'un certificat client qui doit être importé à partir d'Android KeyChain. L’utilisateur doit accuser réception d’une invite système Android avant que le certificat puisse être utilisé par AnyConnect.

  • ccmcertalias (facultatif) : alias TIMA d'un certificat client qui doit être importé à partir du magasin de certificats TIMA. Aucune action de l’utilisateur n’est nécessaire pour qu’AnyConnect reçoive le certificat. Remarque : ce certificat doit avoir été explicitement blanchi pour être utilisé par AnyConnect (par exemple en utilisant l'API Knox CertificatePolicy).

Métadonnées d'application de paquets VPN en ligne

Les métadonnées d'application en ligne pour les paquets VPN sont une fonctionnalité exclusive disponible sur les périphériques Samsung Knox. Il est activé par MDM et fournit à AnyConnect un contexte d'application source pour l'application des politiques de routage et de filtrage. Il est nécessaire pour mettre en oeuvre certaines stratégies de filtrage VPN par application à partir de la passerelle VPN sur les périphériques Android. Les stratégies sont définies pour cibler des ID d'application spécifiques ou des groupes d'applications via un masque générique et sont comparées à l'ID d'application source de chaque paquet sortant.

Le tableau de bord MDM doit fournir aux administrateurs une option pour activer les métadonnées de paquets en ligne. Sinon, MDM pourrait coder cette option de façon à toujours être activée pour AnyConnect, qui l'utilisera en fonction de la stratégie de tête de réseau.

Pour plus d'informations sur les stratégies VPN par application d'AnyConnect, reportez-vous à la section relative à la définition d'une stratégie VPN par application pour les périphériques Android dans le Guide de l'administrateur client Cisco AnyConnect Secure Mobility.

Configuration MDM


Pour activer les métadonnées de paquets en ligne, définissez « uidpid_search_enabled » sur 1 dans l'attribut spécifique de Knox pour une configuration. Exemple :

{
	"KNOX_VPN_PARAMETERS": {
		"profile_attribute": {
			"profileName": "ac_knox_profile",
			"vpn_type": "ssl",
			"vpn_route_type": 1
		},
		"vendor": {
			"AnyConnectVPNConnection": {
				"host": "asa.acme.net"
			}
		},
		"knox": {
			"uidpid_search_enabled": 1
		}
	}
}

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits