Release notes condensées de Omnissa Unified Access Gateway
2503 2506
2412 2406
2312.1 2312 2309 2306
2212.2 2212.1 2212 2209.2 2209.1 2209 2206 2203
2111.3 2111.2 2111.1 2111

UAG 2506

  • Général
    • Prise en charge du certificat X.509 du périphérique et de l’authentification SAML
    • Prise en charge de tous les localisateurs sources de VMware OVF Tool
    • Améliorations de la fonctionnalité d’en-tête HTTP d’origine
    • Prise en charge de l’utilisation d’UAG pour Horizon 8 sur Nutanix AHV - Disponibilité limitée
    • UAG utilise par défaut le protocole IMDSv2 pour les déploiements AWS
    • Si elle est activée, la validation étendue du certificat de serveur peut désormais être contournée de manière sélective pour les lancements de droits à l’aide du protocole Horizon BLAST en spécifiant l’empreinte numérique Horizon Connection Server dans le paramètre Empreinte numérique de l’URL du Serveur de connexion
    • UAG prend en charge nftables pour le filtrage de paquets réseau et NAT
    • le script PowerShell utilisé pour déployer UAG sur Azure ne prend plus en charge le module AzureRM
    • Améliorations de la journalisation
    • Mises à jour des versions de modules de systèmes d’exploitation et des versions de composants Java
  • Content Gateway
    • Prise en charge améliorée des valeurs personnalisées dans l’authentification basée sur les certificats (CBA).
    • Prise en charge de l’opération de déplacement de fichiers dans le référentiel de partage de fichiers réseau (NFS).
  • Omnissa Workspace ONE Tunnel
    • Amélioration de la mise en œuvre rsyslogrsyslog prend en charge la diffusion en continu du journal (tunnel.log du service de tunnel et de reporter.log) sur un serveur rsyslog

UAG 2503

  • Sécurité
    • Cette version résout la vulnérabilité critique CVE-2025-25234.
    • Si les demandes HTTP arrivant à UAG comportent une origine d’en-tête HTTP, la valeur de ce dernier est désormais obligatoirement validée par rapport à une liste autorisée d’origines permises dans les paramètres d’Horizon
    • Les administrateurs peuvent désormais activer TLS 1.2 et TLS 1.3, indépendamment les uns des autres, et la prise en charge de TLS 1.1 est supprimée.
    • La prise en charge d’Extended Master Secret est désormais activée pour l’interface d’administration
    • Améliorations apportées à la valeur par défaut de l’en-tête HTTP Content-Security-Policy envoyé dans les réponses HTTP à partir d'UAG.
  • Horizon 8 sur Amazon WorkSpaces Core
    • UAG prend désormais en charge la version de FIPS pour Horizon 8.
    • Les administrateurs peuvent désormais utiliser les améliorations des scripts PowerShell pour automatiser la conversion de .ova en .ami
  • l’interface utilisateur d’administration
    • Les administrateurs peuvent désormais afficher et supprimer les certificats X.509 chargés à partir de l’UI d’administration.
  • version bêta des REST API
  • AzureRM
    • La prise en charge du module AzureRM est déconseillée par Microsoft le 29 février 2024.
  • Omnissa Workspace ONE Tunnel
    • Améliorations apportées au workflow Authentification des sessions avec SAML pour simplifier la gestion des sessions utilisateur.
    • Ajout de Alert.log et de Audit.log en plus de Access.log pour le service Tunnel Gateway
  • Général
    • Améliorations de la journalisation
    • Mises à jour des versions de modules de systèmes d’exploitation et des versions de composants Java

UAG 2412

  • Général
    • La transition de Broadcom à Omnissa est désormais terminée. L’interface utilisateur Admin, les chaînes de configuration et les chemins d’accès aux fichiers d’UAG ont été mis à jour pour refléter la nouvelle marque Omnissa
    • Comme HTML Access est renommé Web Client, les clés associées et les paramètres de l’UI d’administration sur UAG sont également renommés.
    • Ajout de la compatibilité avec la prise en charge d'Horizon Connection Server pour le traitement de l'assertion SAML chiffrée, émise par les fournisseurs d'identité
    • Dans la section Charger les métadonnées du fournisseur d'identité de l'UI d'administration, vous pouvez désormais afficher tous les certificats chargés présents dans les métadonnées du fournisseur d'identité.
    • Améliorations de la journalisation.
    • Mises à jour des versions de modules de systèmes d'exploitation et des versions de composants Java.
  • système d'exploitation
    • Après la transition de Broadcom à Omnissa, UAG utilise désormais le système d'exploitation AlmaLinux. UAG 2412 utilise AlmaLinux 9.2.
    • Les utilisateurs peuvent désormais configurer UAG pour effectuer l'authentification OpenID Connect (OIDC)
    • Possibilité de configurer la spécification de passerelle qui autorise uniquement les services requis pour ce type de spécification à s'exécuter sur le dispositif.
  • Sécurité
    • Ajout d'une protection contre l'attaque d'emprunt d'identité d'utilisateur pour s'assurer qu'une session de lancement de poste de travail est envoyée à partir du même point de terminaison client sur lequel elle a été générée lorsqu'UAG est utilisé avec l'authentification SAML en mode initialisé du fournisseur de services.
    • Ajout d'une protection contre les attaques par relecture d'assertion SAML pour garantir que l'assertion SAML émise par un fournisseur d'identité ne peut être utilisée qu'une seule fois pendant sa durée de vie.
    • En cas d'authentification par carte à puce, RADIUS et RSA SecurID, UAG émet une assertion SAML (contenant les attributs de l'utilisateur final) pour Horizon Connection Server. Ajout de la prise en charge du chiffrement de cette assertion.
    • Modification de la valeur par défaut de l'algorithme de signature de demande d'authentification SAML de SHA-1 à SHA-256.
    • Sur la version FIPS d'UAG, l'extension Extended Master Secret est obligatoire pour les connexions TLS 1.2.
    • Mises à jour des chiffrements TLS

UAG 2406

  • Général
    • Ajout de la prise en charge de la fonctionnalité de redirection de site de base d'Horizon Connection Server (associée à Architecture Cloud Pod)
    • Ajout de la prise en charge des authentifications de base et NTLM dans la configuration du proxy sortant.
    • Lors du déploiement sur Azure, la VM UAG, le réseau virtuel, le groupe de sécurité réseau (NSG) et l'adresse IP publique peuvent désormais être déployés dans différents groupes de ressources Azure.
    • Améliorations apportées à la fonctionnalité de configuration SNMP : permet de conserver les paramètres de configuration SNMP pour Tunnel, même lorsque SNMP est reconfiguré avec d'autres paramètres.
    • L'attribut SameSite sera désormais défini sur Lax pour les cookies HTTP configurés par UAG.
    • Ajout de la prise en charge du script PowerShell pour activer ou désactiver la surveillance des sessions non reconnues à l'aide du nouveau champ unrecognizedSessionsMonitoringEnabled. Reportez-vous aux Paramètres de déploiement PowerShell.
    • Améliorations apportées à l'utilitaire de ligne de commande adminreset. Reportez-vous à la section Récupérer l'administrateur à l'aide de la commande adminreset.
    • Améliorations de la journalisation et du dépannage.
    • Mises à jour des versions de modules de systèmes d'exploitation et des versions de composants Java. Ces mises à jour incluent la mise à jour de la version d'OpenSSH pour corriger une vulnérabilité CVE-2024-6387.
  • Workspace ONE Tunnel
    • Vous pouvez désormais déployer la passerelle Workspace ONE Tunnel en tant que conteneur en dehors d'UAG
    • Mettez à jour le format de journal de texte brut vers JSON, ce qui permet une intégration simplifiée avec des solutions de filtrage de journaux telles que Splunk, Elasticsearch, etc.
    • Améliorations apportées à la logique de nouvelle tentative de synchronisation en bloc pour tenir compte des échecs intermittents de synchronisation de la stratégie.
    • La possibilité de contrôler l'algorithme de signature OpenSSL pour Workspace ONE Tunnel via la KVP openssl_signature_algorithms spécifie les algorithmes de signature autorisés dans l'établissement de liaison entre les périphériques et la passerelle

UAG 2312

  • Général
    • Les en-têtes HTTP Host et X-Forwarded-Host sont validés par défaut par rapport à deux listes autorisées d’en-têtes d’hôte autorisés
    • Lorsque la validation de l’empreinte numérique de l’URL n’est pas utilisée, la vérification du nom d’hôte sur le certificat du serveur est activée par défaut pour les connexions TLS sortantes
    • TLS 1.3 est désormais pris en charge en mode FIPS
    • Introduction du paramètre communityName pour la configuration SNMPv1+SNMPv2
    • Les métadonnées du fournisseur d’identité SAML (utilisées pour l’authentification des utilisateurs du client Horizon) peuvent être affichées, modifiées et supprimées de l’interface utilisateur d’administration et de l’API REST
    • Les métadonnées des informations du fournisseur d’identité peuvent être modifiées et supprimées dans l’interface d’administration.
    • Les détails du certificat TLS installé sur les interfaces d’administration et Internet peuvent être consultés sur l’interface d’administration
    • Ajout d’une option permettant de définir DisableHTMLAccess pour les paramètres Horizon lors du déploiement de PowerShell.
    • Ajout d’en-têtes de configuration ToBeLogged pour ajouter des en-têtes HTTP spécifiques à inclure dans le niveau de journal par défaut.
    • Amélioration de la commande adminreset pour prendre en charge la configuration des en-têtes d’hôte autorisés.
    • Les statistiques d’utilisation de l’espace disque sont désormais collectées périodiquement et incluses dans l’archive du journal à des fins de dépannage
    • Le niveau de journal peut désormais être modifié sur un seul serveur Tunnel
    • vpnstats rapporte désormais des informations MFA. Les éléments suivants sont ajoutés :
      - Activation de MFA enablement
      - Etat d'activation de JWT
    • En cas d’échec de la configuration initiale lors du déploiement, le script utilisé pour reconfigurer les interfaces réseau passe désormais de /opt/<org_dir>/share/vami/vami_config_net à /opt/<org_dir>gateway/scripts/configureNetwork.sh.
    • Améliorations de la journalisation.
    • Mises à jour des versions du package Photon OS et des versions Java.

UAG 2309

  • Général
    • Prise en charge certifiée du déploiement d’UAG sur Azure en mode FIPS avec authentification par carte à puce avec Blast Secure Gateway.
    • Ajout de statistiques d’utilisation du disque à l’archive du journal à des fins de dépannage.
    • Améliorations de la journalisation.
    • Mises à jour des versions du package Photon OS et des versions Java.

UAG 2306.1

  • Général
    • Prise en charge des identificateurs basés sur le nom d’hôte dans les métadonnées et l’assertion SAML. Une nouvelle option Enable Host Based Issuer est ajoutée dans les paramètres SAML > les paramètres du fournisseur d’identité SAML pour configurer cette fonctionnalité.

UAG 2306

  • Général
    • Ajout de la prise en charge d’Horizon Connection Server pour la définition de l’état d’application à partir de clients avec le même mode de vérification de certificat ou un mode de vérification de certificat supérieur
    • Ajout de la prise en charge du type de fichier PKG à la distribution Custom Executable.
    • Support de l’application de restrictions de canal virtuel avec le protocole Blast. Cette liste remplace tous les paramètres appliqués via Horizon Agent.
    • Amélioration de la compatibilité avec le proxy inverse Web pour les services Web à l’aide de l’authentification NTLM.
    • Améliorations de l’authentification SAML pour la connexion de l’administrateur de l’interface d’admin
      • Configuration de l’ID d’entité statique du fournisseur de services inclus dans les métadonnées du fournisseur de services
      • Possibilité de signer SAML AuthNRequest avec le certificat TLS installé sur l’interface d’administration.
    • Ajout de la prise en charge du service Tunnel Edge pour le paramètre d’ID de configuration facultatif
    • Améliorations de la journalisation et du dépannage
    • Mises à jour des versions du package Photon OS et des versions des composants Java.

UAG 2303

  • Général
    • Améliorations apportées aux utilitaires en ligne de commande existants pour effectuer des modifications de configuration :
      • adminpwd prend en charge une option permettant de forcer l’utilisateur à changer le mot de passe lors de la première connexion.
      • adminreset prend en charge des options granulaires pour réinitialiser les configurations individuelles
    • Ajout d’une option dans les paramètres de Per-App Tunnel pour contrôler si les mises à jour automatiques de la configuration à partir de Workspace ONE UEM Console sont appliquées.
    • Ajout de la prise en charge de la configuration des paramètres TLS utilisés dans la communication avec Workspace ONE UEM Console pour l’extraction des configurations initiales des services Edge de Per-App Tunnel, de Content Gateway et de Secure Email Gateway edge services.
    • Support du déploiement avec PowerShell version 7.3 à partir d’un ordinateur Ubuntu
    • Fin de vie du support du Omnissa Tunnel Proxy. Le composant Per-App Tunnel prend en charge les mêmes cas d’utilisation que le composant Tunnel Proxy.
    • Améliorations de la journalisation et du dépannage.
    • Mises à jour des versions du package Photon OS et des versions des composants Java.

UAG 2212

  • Général
    • Améliorations apportées au déploiement sur les plates-formes cloud. Plate-forme Google Cloud (GCP)
      • Prise en charge du déploiement d’une image UAG sur un projet GCP lorsque l’image est gérée à partir d’un autre projet.
      • Prise en charge des configurations VPC partagées de GCP à exploiter lors du déploiement d’UAG sur GCP.
      Microsoft Azure
      • Ajout de la fonctionnalité de déploiement dans une zone de disponibilité spécifique sur Microsoft Azure.
      Amazon Web Services (AWS)
    • Added support for deployment with PowerShell 7 (version 7.2.7) from an Ubuntu machine.
    • Added support in Omnissa Workspace ONE Tunnel for IPv6 subnets in Server Traffic Rules and when performing validation of Device Traffic Rules.
    • When UAG is used as a service provider for SAML integration, UAG’s service provider identity will change when the TLS certificate is refreshed.
    • Added support for configuring unique settings per Syslog or MQTT server definition.
    • Improved support for special characters in Workspace ONE UEM API server password.
    • Troubleshooting enhancements and logging improvements.
    • Updates to Photon OS package versions and Java component versions.

UAG 2209.2

  • Général
    • Support for forwarding appliance package update logs to the Syslog server.
    • Updates to Photon OS package versions and Java component versions.

UAG 2209.1

  • Général
    • Support for validation of admin and internet facing TLS certificate chains when the certificate is configured using uagcertutil utility.
    • Improve UDP reporting in Tunnel Access Logs.
    • Updates to Photon OS package versions.

UAG 2209

  • Général
    • Added uagcertutil command. This command is used to generate a new private key and a Certificate Signing Request (CSR) to get a CA signed certificate and applied to UAG’s admin and internet interfaces.
    • Added support for handling HTTP redirect from Horizon broker. This feature can be used to simplify affinity requirements for load balancing Horizon broker. After a Horizon broker instance is selected by a load balancer, the selected broker instance returns an HTTP redirect. The UAG appliance now directly connects to Horizon broker without further need for load balancer affinity.
    • Powershell Enhancements:
      • Added support for deployment with PowerShell 7.
      • Added support for PowerShell deployment on Microsoft Azure using Az module in addition to the existing support for AzureRM module.
      • Extended configuration options - session timeout, authentication timeout, and monitor interval with PowerShell deployment.
    • Co-existence of SAML authentication with Basic authentication for the Admin interface.
    • Added support for Certificate Based Authentication (CBA) for Network File Shares (NFS) in Content Gateway.
    • Logging and monitoring improvements:
      • Archiving UAG statistics when its health is down.
      • Compression of rolled over log files.
      • Logging unhealthy state of UAG resulting from explicit configuration of quiesce mode as an informational log instead of warning log.
    • Updates to Photon OS package versions and Java component versions.

UAG 2207.1

  • Général
    • Bug fix for Tunnel Server.
    • Updates to Photon OS package versions and Java component versions.

UAG 2207

  • Général
    • Added SAML authentication for the Admin interface with the FIPS version.
    • Provided additional security settings required to allow the FIPS version of UAG to be deployed with Photon OS DISA STIG compliance. DISA is the Defense Information Systems Agency and the Photon OS STIG is the published Security Technical Implementation Guide.
    • Added further ssh hardening configuration options.
    • Added setting to allow the Horizon Connection Server pre-login message to be skipped.
    • Added adminreset command.
    • Syslog configuration improvements. Upgraded the syslog functionality to use the new syslog-ng instead of the older rsyslog. This includes MQTT improvements which allow syslog-ng to be used for MQTT event forwarding with optional certificate support.
    • Endpoint compliance functionality improvements for OPSWAT integration. This includes logging the client device ID at INFO level in esmanager.log entries which can be forwarded to an external syslog server.
    • Updated log rotation configuration for additional /var/log files.
    • Added support during deployment to run a small script either on first boot or on every boot.
    • Extended the support for automatic OS package updates to include potential non-Photon UAG specific rpm updates.
    • Improvements in certificate revocation checks made on the received TLS server certificate for outbound TLS connections.
    • Backslash character is now supported in PFX TLS server certificate passwords.
    • Improved logging and communication of analysis data to Horizon brokers for cases where a Horizon Client is detected as idle, and for cases where misrouting of Horizon Client protocols (PCoIP and Tunnel) occurs.
    • Improved the Tunnel’s vpnreport troubleshooting tool to include flow details based on device type and TCP/UDP, and a breakdown of most used apps.
    • Updates to Photon OS package versions and Java component versions.

UAG 2203.1

  • Général
    • Added support in Content Gateway (CG) edge service for the V4 API introduced in Workspace ONE UEM version 2204.
    • Updates to Photon OS package versions and Java component versions.

UAG 2203

  • Général
    • Added support for Horizon SAML authentication flows in the FIPS version of UAG.
    • Improved protection to block URL Path Traversals for Horizon and Web Reverse Proxy based on proxy pattern definitions and a new configuration setting to enable canonical proxy pattern matching.
    • The OPSWAT endpoint compliance feature now supports optional flag values to determine how the downloaded on-demand OPSWAT agent is run.
    • The CSRF feature for Horizon HTML Access introduced in Horizon 2006 did not support the combination of a pre-login message configured on Connection Server with Multi-Factor authentication configured on UAG. UAG 2203 now includes the CSRF protection requirements to support this combination.
    • Improved logging and communication of analysis data to Horizon brokers for cases where a Horizon Client is detected as idle, and for cases where misrouting of Horizon Client protocols occurs.
    • Improved audit logging when trusted certificates are added by the administrator.
    • UAG syslog events can now be sent to an MQTT server using the MQTT IoT messaging protocol.
    • The UAG stats monitoring API now provides information on UAG uptime and version number.
    • Improved control over proxyPattern configuration for Horizon. This makes it possible to block Horizon Webclient reverse proxy forwarding to the Horizon broker if required.
    • Update Interval in Workspace ONE Intelligence Data settings are now pre-populated with the default value.
    • Console root login idle time auto-disconnect value is now configurable.
    • The Horizon Client HTTP 307 redirect feature now allows TCP port number to be used in addition to FQDN and IP address.
    • Added automatic disk space monitoring so that syslog events are automatically sent if disk usage is excessively high.
    • General improvements to the functionality for forwarding data to Workspace ONE Intelligence.
    • Enhanced certificate-based authentication for Content Gateway Repository to support all Active Directory (AD) entities.
    • TLS_RSA ciphers have been removed by default on the Secure Email Gateway (SEG) service.
    • Updates to Photon OS package versions and Java component versions.

UAG 2111.2

  • Général
    • Fixes for several specific defects identified since the previous release. Refer to the Resolved Issues section for more details. If you are not affected by any of the issues listed in the Resolved Issues section, then there is no need to upgrade from the previous 2111.1 version.
    • Updates to Photon OS package versions and inclusion of Apache log4j-core version 2.17.1 in the authbroker component. These Photon OS and log4j-core version updates are included for compliance purposes only and do not resolve any known vulnerabilities that impact UAG.

UAG 2111.1

  • Général
    • Fix for the critical CVE-2021-44228 vulnerability, the CVE-2021-45046 vulnerability and a fix for the uagdeploy PowerShell deployment script. Refer to the Resolved Issues section for more details.
    • Updates to Photon OS package versions and Java versions.

UAG 2111

  • Général
    • TLS configuration for Horizon and Web Reverse Proxy and Identity Bridging has been extended to include specification of Named Groups (elliptic curves), Signature Schemes, and Client (outbound) Cipher Suites.
    • Added a new delay timer for OPSWAT endpoint compliance checks to improve user experience in cases where the OPSWAT On-demand agent is used with Horizon access.
    • Added support for UAG certificate authentication with client X.509 certificates that use the RSASSA-PSS signature algorithm.
    • SNMPv3 now includes support for additional Auth Alogrithms SHA-224, SHA-256, SHA-384, and SHA-512 in addition to MD5 and SHA.
    • The SNMPv3 Engine ID administratively assigned text value is now configurable. The SNMP MIB now includes disk monitoring in addition to CPU and memory.
    • Added support for Horizon Client and server data protection encryption when used with new versions of Horizon.
    • Java JDK 11 is used for all UAG components.
    • Java JDK 8 has been removed.
    • RSA SecurID support uses a new RSA SecurID Authentication API from RSA.
      The new API no longer supports the older sdconf.rec file for configuration. To configure RSA SecurID from the Admin UI or REST API, new values need to be specified.
      Along with this API update, RSA Adaptive Authentication is no longer supported.
    • Host clock sync is now supported as an optional alternative to the default NTP protocol mechanism.
    • Configuration of log level modes such as DEBUG and TRACE can now be set for individual components instead of globally for all components.
    • Updates to Photon OS package versions and Java versions.
    • Added support for Blast Secure Gateway host header validation

Release notes condensées de Omnissa Unified Access Gateway
2503 2506 2412 2406 2312.12312 2309 2306 2212 2209 2206 2203 2111 2106 2103 2012 2006