Antes de poder inscrever qualquer dispositivo, cada usuário do dispositivo deve ter uma conta de usuário autêntica reconhecida por Workspace ONE UEM. O tipo de autenticação do usuário escolhido depende das necessidades da sua organização.

Proxy de autenticação

O proxy de autenticação entrega integração dos serviços de diretório na nuvem ou em redes internas físicas. Nesse modelo, o servidor de Workspace ONE UEM comunica-se com um servidor Web público ou com um servidor Exchange ActiveSync. Essa configuração autentica os usuários contra o controlador do domínio.

PRÓS

  • Oferece um método seguro para integração do proxy com o AD/LDAP por meio da nuvem.
  • Os usuários podem se autenticar utilizando credenciais corporativas existentes.
  • É um módulo leve, que requer configuração mínima.

CONTRAS

  • Exige um servidor Web que faz interface direta com o público ou um servidor Exchange ActiveSync com conexões com um servidor AD/LDAP.
  • Só é viável para layouts de arquitetura específicos.
  • Solução muito menos robusta do que o VMware Enterprise Systems Connector.
  • Não pode ser usada para a inscrição direta do Workspace ONE.

Este diagrama mostra um servidor proxy reverso como o intermediário entre os serviços de diretório e o modelo do Workspace ONE SaaS.

  1. O dispositivo conecta-se à Workspace ONE UEM para inscrever-se. O usuário digita seu nome de usuário e senha dos serviços de diretório.
    • O nome de usuário e a senha são criptografados durante o transporte.
    • Workspace ONE UEM não armazena a senha dos serviços de diretório do usuário.
  2. Workspace ONE UEM depende do nome de usuário e senha para um endpoint de proxy de autenticação configurado que exige autenticação (por exemplo, autenticação básica).
  3. As credenciais do usuário são validadas em relação aos serviços de diretório corporativo.
  4. Se as credenciais do usuário forem válidas, o servidor da Workspace ONE UEM permite que um dispositivo conclua a inscrição.

Active Directory com autenticação LDAP e VMware Enterprise Systems Connector

O Active Directory com autenticação LDAP e VMware Enterprise Systems Connector fornece a mesma funcionalidade que a autenticação tradicional de AD e LDAP. Esse modelo funciona na nuvem para implementações de Software como serviço (SaaS).

PRÓS

  • Os usuários podem se autenticar utilizando credenciais corporativas existentes.
  • Não requer modificações no firewall, já que a comunicação é iniciada no VMware Enterprise Systems Connector dentro da sua rede.
  • A transmissão de credenciais é criptografada e segura.
  • Oferece configuração segura para outras infraestruturas, como servidores BES, Microsoft ADCS, SCEP e SMTP.
  • Pode ser usada para a inscrição direta do Workspace ONE ™.

CONTRAS

  • Requer a instalação do VMware Enterprise Systems Connector atrás do firewall ou em uma zona desmilitarizada.
  • Exige configuração extra.

Modelo de implementação de SaaS

Este diagrama mostra o conector em nuvem da VMware trabalhando com o Workspace ONE na nuvem por meio do firewall e, ao mesmo tempo, acessa os recursos da rede interna.

Modelo de implementação no local

Este diagrama mostra um dispositivo acessando serviços de dispositivo em uma DMZ que está sendo atendida por meio de um firewall por recursos de rede internos.

Autenticação SAML 2.0

A autenticação SAML 2.0 é compatível com logon único e autenticação federada. O Workspace ONE UEM nunca recebe credenciais corporativas.

Se uma organização tiver um servidor de provedor de identidade SAML, use a integração SAML 2.0. Assegure-se de que o Provedor de identidade retorne o atributo objectGUID como parte da resposta SAML.

PRÓS

  • Oferece recursos de Single Sign-On.
  • Autenticação com credenciais corporativas existentes.
  • O Workspace ONE UEM nunca recebe credenciais corporativas em texto sem formatação.
  • Pode ser usado para inscrição direta do Workspace ONE quando emparelhado com um usuário de diretório SAML.
  • O suporte a ambientes de vários domínios é apenas para administradores.

CONTRAS

  • Requer infraestrutura corporativa para provedor de identidade SAML.
  • Não pode ser usada para inscrição direta do Workspace ONE quando emparelhada com um usuário básico do SAML.
  • Configure SAML com Workspace ONE Access já que o IDP com o recurso de Usuário básico local habilitado não oferece suporte à autenticação de Usuários básicos.

    Este diagrama mostra o servidor Workspace ONE SaaS recebendo entrada de um dispositivo pela Internet e acessando o provedor de identidade SAML por meio de um firewall.

    1. O dispositivo se conecta ao Workspace ONE UEM para inscrição. O servidor do UEM redireciona o dispositivo para o provedor de identidade especificado pelo cliente.
    2. O dispositivo conecta-se em segurança por HTTPS ao provedor de identidade fornecido pelo cliente e o usuário digita as credenciais.
      • As credenciais são criptografadas durante o transporte diretamente entre o dispositivo e o endpoint SAML.
    3. As credenciais são validadas contra os serviços de diretório.
    4. O provedor de identidade retorna uma resposta SAML assinada com o nome de usuário autenticado.
    5. O dispositivo responde de volta ao servidor do Workspace ONE UEM e apresenta a mensagem SAML assinada. O usuário é autenticado.

    Para obter mais informações, consulte Configurar os serviços de diretório manualmente e role para baixo até a seção SAML.

  • Os aplicativos SaaS não estão disponíveis para os administradores SAML que se autenticam usando Workspace ONE Access.

Funcionalidade de aplicativo SaaS para administradores SAML

Os aplicativos SaaS, bem como outras políticas e funções do Workspace ONE Access, não ficam disponíveis se você for um administrador SAML que se autentica usando Workspace ONE Access. Você verá a seguinte mensagem de erro ao navegar até a página de aplicativos SaaS.

Verifique se a sua conta de administrador existe nos sistemas UEM e IDM e se o domínio no Workspace ONE UEM corresponde exatamente ao domínio da mesma conta no VMware Identity Manager.

Para restaurar a acessibilidade do aplicativo SaaS, você deve fazer login no Workspace ONE UEM usando uma autenticação básica e também deve habilitar Workspace ONE Access no seu grupo organizacional.

Autenticação baseada em token

A autenticação baseada em token é a maneira mais fácil que o usuário tem para inscrever o dispositivo. Com essa configuração de inscrição, o Workspace ONE UEM gera um token que é colocado dentro da URL de inscrição.

Para uma autenticação com token único, o usuário acessa o link no dispositivo para finalizar a inscrição e o servidor do Workspace ONE UEM usa o token fornecido ao usuário como referência.

Para mais segurança, defina um prazo de validade (em horas) para cada token. Definir um prazo de validade minimiza o potencial de outro usuário obter acesso a quaisquer informações e recursos disponíveis para o dispositivo.

Você também pode decidir implementar uma autenticação de dois fatores para incluir um passo adicional na verificação da identidade do usuário. Com essa configuração de autenticação, o usuário deve digitar seu nome de usuário e senha quando acessar o link de inscrição com o token fornecido.

PRÓS

  • Um esforço mínimo para inscrição e autenticação do dispositivo por um usuário.
  • Proteja o uso do token definindo um prazo de validade.
  • O usuário não precisa de credenciais para autenticação de token único.

CONTRAS

  • Requer SMTP (e-mail) ou integração SMS para enviar tokens para o dispositivo.

Este diagrama mostra o usuário administrador fornecendo um token de uso único para um usuário de inscrição.

  1. O administrador autoriza o registro do dispositivo do usuário.
  2. O token de uso único é gerado e enviado ao usuário do Workspace ONE UEM.
  3. O usuário recebe um token e vai para a URL de inscrição. O usuário deve informar o token e, opcionalmente, a autenticação de dois fatores.
  4. Processo de inscrição do dispositivo.
  5. O Workspace ONE UEM marca o token como expirado.
Observação: O SMTP é incluído nas implementações SaaS.

Ativar tipos de segurança para inscrição

Depois que a Workspace ONE UEM for integrada com um tipo de segurança de usuário selecionado e antes da inscrição, ative cada modo de autenticação que pretende permitir.

  1. Vá até Dispositivos > Configurações do dispositivo > Dispositivos e usuários > Geral > Inscrição na guia Agrupamento.
  2. Marque as caixas de seleção apropriadas para a configuração Modo de autenticação.
    Configuração Descrição
    Adicionar domínio de e-mail Este botão é usado para configurar o serviço de detecção automática para registrar domínios de e-mail no seu ambiente.
    Modo(s) de autenticação

    Selecione os tipos de autenticação permitida, que incluem:

    • Básico – Contas de usuários básicas (aquelas que você criar manualmente no console do UEM) podem se inscrever.
    • Diretório – Contas de usuário do diretório (aquelas que você importou ou permitiu usando a integração do serviço de diretório) podem se inscrever. A Inscrição direta do Workspace ONE é compatível somente para usuários de diretório com ou sem SAML.
    • Proxy de autenticação – Permite que os usuários se inscrevam utilizando contas de usuário do Proxy de autenticação. Os usuários se autenticam a um endpoint da web.
      • Digite URL do Proxy de autenticação, URL do Proxy de autenticação backup e Tipo de método de autenticação (escolha entre básica HTTP e ActiveSync do Exchange).
    Fonte da autenticação para o Intelligent Hub

    Selecione o sistema que o serviço do Intelligent Hub usará como fonte para os usuários e políticas de autenticação.

    • Workspace ONE UEM – Selecione esta configuração se quiser que os serviços do Hub usem Workspace ONE UEM como a fonte de usuários e políticas de autenticação.

      Ao configurar a página Configuração do Hub para serviços do Hub, insira o URL do tenant dos serviços do Hub.

    • Workspace ONE Access – Selecione essa configuração se quiser que os serviços do Hub usem o Workspace ONE Access como fonte de usuários e políticas de autenticação.

      Ao configurar a página Configuração do Hub dos serviços do Hub, insira a URL do tenant do Workspace ONE Access.

    Para obter detalhes sobre o Workspace ONE Intelligent Hub, consulte a Documentação dos serviços do Hub do VMware Workspace ONE.

    Para obter detalhes sobre o Workspace ONE Access, consulte a Documentação do VMware Workspace ONE Access.

    Modo de inscrição do dispositivo

    Selecione o modo de inscrição do dispositivo preferencial, que inclui:

    • Inscrição aberta – Essencialmente, permite que qualquer pessoa que cumpra com outros critérios de inscrição (modo de autenticação, restrições, entre outros) se inscreva. A Inscrição direta do Workspace ONE é compatível somente com inscrição aberta.
    • Somente dispositivos registrados – Somente usuários permitidos podem se inscrever usando dispositivos registrados por você ou por eles. O registro do dispositivo é o processo de adicionar dispositivos corporativos ao console do UEM antes que eles sejam inscritos. A Inscrição direta do Workspace ONE é compatível, permitindo que apenas dispositivos registrados se inscrevam, mas somente se tokens de registro não forem exigidos.
    Exigir token de registro

    Visível apenas quando Somente dispositivos registrados está selecionado.

    Se você restringir a inscrição somente aos dispositivos registrados, você também terá a opção de exigir um token de registro a ser usado na inscrição. Isso aumenta a segurança confirmando que um usuário em particular está autorizado para se inscrever. Você pode enviar um e-mail ou mensagem SMS com um token de inscrição anexo para usuários com contas da Workspace ONE UEM.

    Exigir inscrição do Intelligent Hub para iOS Marque esta caixa de seleção para exigir que os usuários de dispositivos iOS façam download e instalem o Workspace ONE Intelligent Hub antes de se inscreverem. Se desativado, a inscrição pela Web estará disponível.
    Exigir inscrição do Intelligent Hub para macOS Marque esta caixa de seleção para exigir que os usuários de dispositivos macOS baixem e instalem o Workspace ONE Intelligent Hub antes de se inscreverem. Se desativado, a inscrição pela Web estará disponível.
  3. Selecione Salvar.

Autenticação básica do usuário

É possível usar a Autenticação básica para identificar usuários na arquitetura da Workspace ONE UEM, mas esse método não oferece integração com as contas de usuários corporativas existentes.

PRÓS

  • Pode ser usada para qualquer método de implementação.
  • Não requer integração técnica.
  • Não exige infraestrutura empresarial.

CONTRAS

  • Não pode ser usada com detecção automática.
  • As credenciais só existem na Workspace ONE UEM e não coincidem necessariamente com as credenciais corporativas.
  • Não oferece segurança federada nem Single Sign-On.
  • Workspace ONE UEM armazena todos os nomes de usuários e senhas.
  • Não pode ser usada para a inscrição direta do Workspace ONE.

  1. O usuário do console acessa o Workspace ONE UEM SaaS usando a conta local para autenticação (autenticação básica).
    • As credenciais são criptografadas durante o transporte.
    • (por exemplo, nome de usuário: jdoe@air-watch.com, senha: Abcd).
  2. O usuário do dispositivo inscreve o dispositivo usando as credenciais da conta local da Workspace ONE UEM (autenticação básica).
    • As credenciais são criptografadas durante o transporte.
    • (por exemplo, nome de usuário: jdoe2, senha: 2557).

Active Directory com autenticação LDAP

O Active Directory (AD) com autenticação Lightweight Directory Access Protocol (LDAP) é usado para integrar as contas de usuário e administrador da Workspace ONE UEM com as contas corporativas existentes.

PRÓS

  • Os usuários agora podem se autenticar com as credenciais corporativas existentes.
  • Proteja o método de integração com LDAP/AD.
  • Prática de integração padrão.
  • Pode ser usada para a inscrição direta do Workspace ONE.

CONTRAS

  • Requer um servidor AD ou outro servidor Lightweight Directory Access Protocol (LDAP).

Este diagrama mostra um dispositivo acessando o UEM Console pela Internet passando por um firewall. O UEM Console acessa os serviços de diretório.

  1. O dispositivo conecta-se à Workspace ONE UEM para inscrever-se. O usuário digita seu nome de usuário e senha dos serviços de diretório.
    • O nome de usuário e a senha são criptografados durante o transporte.
    • Workspace ONE UEM não armazena a senha dos serviços de diretório do usuário.
  2. Workspace ONE UEM consulta os serviços de diretório do cliente via protocolo seguro LDAP pela internet usando uma conta de serviço para autenticação.
  3. As credenciais do usuário são validadas em relação aos serviços de diretório corporativos.
  4. Se as credenciais do usuário forem válidas, o servidor da Workspace ONE UEM permite que um dispositivo conclua a inscrição.