Tipos de autenticação de usuário

Antes de inscrever dispositivos, cada usuário do dispositivo deve ter uma conta de usuário autêntica reconhecida pelo Workspace ONE UEM. O tipo de autenticação do usuário escolhido depende das necessidades da sua organização.

Proxy de autenticação

O proxy de autenticação entrega integração dos serviços de diretório na nuvem ou em redes internas físicas. Nesse modelo, o servidor do Workspace ONE UEM comunica-se com um servidor Web público ou com um servidor Exchange ActiveSync. Essa configuração autentica os usuários contra o controlador do domínio.

PRÓS

  • Método seguro para integração do proxy com o AD/LDAP por meio da nuvem.
  • Os usuários podem se autenticar utilizando credenciais corporativas existentes.
  • Módulo leve que requer configuração mínima.

CONTRAS

  • Exige um servidor Web que faz interface direta com o público ou um servidor Exchange ActiveSync com conexões com um servidor AD/LDAP.
  • Só é viável para layouts de arquitetura específicos.
  • Solução menos robusta do que o VMware Enterprise Systems Connector.
  • Não pode ser usada para a inscrição direta do Workspace ONE.

Este diagrama mostra um servidor proxy reverso como o intermediário entre os serviços de diretório e o modelo do Workspace ONE SaaS.

  1. O dispositivo se conecta ao Workspace ONE UEM para inscrever o dispositivo. O usuário digita seu nome de usuário e senha dos serviços de diretório.
    • Nome de usuário e senha criptografados durante o transporte.
    • O Workspace ONE UEM não armazena a senha dos serviços de diretório do usuário.
  2. O Workspace ONE UEM depende do nome de usuário e senha para um endpoint de proxy de autenticação configurado que exige autenticação (por exemplo, autenticação básica).
  3. As credenciais do usuário validam em relação aos serviços de diretório corporativo.
  4. Se as credenciais do usuário forem válidas, o servidor do Workspace ONE UEM inscreve o dispositivo.

Active Directory com autenticação LDAP e VMware Enterprise Systems Connector

O Active Directory com autenticação LDAP e VMware Enterprise Systems Connector fornece a mesma funcionalidade que a autenticação tradicional de AD e LDAP. Esse modelo funciona na nuvem para implementações de Software como serviço (SaaS).

PRÓS

  • Os usuários podem se autenticar utilizando credenciais corporativas existentes.
  • Não requer modificações no firewall, já que a comunicação é iniciada no VMware Enterprise Systems Connector dentro da sua rede.
  • A transmissão de credenciais criptografa com segurança.
  • Oferece configuração segura para outras infraestruturas, como servidores BES, Microsoft ADCS, SCEP e SMTP.
  • Compatível com a inscrição direta do Workspace ONE™.

CONTRAS

  • Requer a instalação do VMware Enterprise Systems Connector atrás do firewall ou em uma zona desmilitarizada.
  • Exige configuração extra.

Modelo de implementação de SaaS

Este diagrama mostra o conector em nuvem da VMware trabalhando com o Workspace ONE na nuvem por meio do firewall e, ao mesmo tempo, acessa os recursos da rede interna.

Modelo de implementação no local

Este diagrama mostra um dispositivo acessando serviços de dispositivo em uma DMZ que está sendo atendida por meio de um firewall por recursos de rede internos.

Autenticação SAML 2.0

A autenticação SAML 2.0 é compatível com logon único e autenticação federada. O Workspace ONE UEM nunca recebe credenciais corporativas.

Se uma organização tiver um servidor de provedor de identidade SAML, use a integração SAML 2.0. Assegure-se de que o Provedor de Identidade retorne o atributo objectGUID como parte da resposta SAML.

PRÓS

  • Oferece recursos de Single Sign-On.
  • Autenticação com credenciais corporativas existentes.
  • O Workspace ONE UEM nunca recebe credenciais corporativas em texto sem formatação.
  • Compatível com a inscrição direta do Workspace ONE quando emparelhada com um usuário de diretório SAML.
  • Somente administradores podem usar ambientes de vários domínios.

CONTRAS

  • Requer infraestrutura corporativa para provedor de identidade SAML.
  • Incompatível com a inscrição direta do Workspace ONE quando emparelhada com um usuário de básico SAML.

  • Configure SAML com o Workspace ONE Access já que o IDP com o recurso de Usuário Básico Local habilitado não oferece suporte à autenticação de Usuários Básicos.

    Este diagrama mostra o servidor Workspace ONE SaaS recebendo entrada de um dispositivo pela Internet e acessando o provedor de identidade SAML por meio de um firewall.

    1. O dispositivo se conecta ao Workspace ONE UEM para inscrição. O servidor do UEM redireciona o dispositivo para o provedor de identidade especificado pelo cliente.
    2. O dispositivo conecta-se em segurança por HTTPS ao provedor de identidade fornecido pelo cliente e o usuário digita as credenciais.
      • Credenciais criptografadas durante o transporte diretamente entre o dispositivo e o endpoint SAML.
    3. As credenciais são validadas em relação aos serviços de diretório.
    4. O provedor de identidade retorna uma resposta SAML assinada com o nome de usuário autenticado.
    5. O dispositivo responde de volta ao servidor do Workspace ONE UEM e apresenta a mensagem SAML assinada. O usuário autentica. Para obter mais informações, consulte Configurar os serviços de diretório manualmente e role para baixo até a seção SAML.

  • Os aplicativos SaaS não estão disponíveis para os administradores SAML que se autenticam usando Workspace ONE Access.

Funcionalidade de aplicativo SaaS para administradores SAML

Os aplicativos SaaS, bem como outras políticas e funções do Workspace ONE Access, não ficam disponíveis se você for um administrador SAML que se autentica usando o Workspace ONE Access. Você verá a seguinte mensagem de erro ao navegar até a página de aplicativos SaaS.

Verifique se a sua conta de administrador existe nos sistemas UEM e IDM e se o domínio no Workspace ONE UEM corresponde exatamente ao domínio da mesma conta no VMware Identity Manager.

Para restaurar a acessibilidade do aplicativo SaaS, você deve fazer login no Workspace ONE UEM usando uma autenticação básica e também deve ativar o Workspace ONE Access no seu grupo organizacional.

Autenticação baseada em token

A autenticação baseada em token é a maneira mais fácil que o usuário tem para inscrever o dispositivo. Com essa configuração de inscrição, o Workspace ONE UEM gera um token que é colocado na URL de inscrição.

Para uma Autenticação com token único, o usuário acessa o link no dispositivo para finalizar uma inscrição e o servidor do Workspace ONE UEM usa o token fornecido ao usuário como referência.

Para mais segurança, defina um prazo de validade (em horas) para cada token. Definir um prazo de validade minimiza o potencial de outro usuário obter acesso a quaisquer informações e recursos disponíveis para o dispositivo.

Você também pode decidir implementar uma autenticação de dois fatores para incluir um passo adicional na verificação da identidade do usuário. Com essa configuração de autenticação, o usuário deve digitar seu nome de usuário e senha quando acessar o link de inscrição com o token fornecido.

PRÓS

  • Um esforço mínimo para inscrição e autenticação do dispositivo por um usuário.
  • Proteja o uso do token definindo um prazo de validade.
  • O usuário não precisa de credenciais para autenticação de token único.

CONTRAS

  • Requer SMTP (e-mail) ou integração SMS para enviar tokens para o dispositivo.

Este diagrama mostra o usuário administrador fornecendo um token de uso único para um usuário de inscrição.

  1. O administrador autoriza o registro do dispositivo do usuário.
  2. O token de uso único é gerado e enviado ao usuário do Workspace ONE UEM.
  3. O usuário recebe um token e vai para a URL de inscrição. O usuário recebe prompts para o token e, opcionalmente, a autenticação de dois fatores.
  4. Processo de inscrição do dispositivo.
  5. O Workspace ONE UEM marca o token como expirado.

Observação: As implementações SaaS incluem SMTP.

Ativar tipos de segurança para inscrição

Depois que o Workspace ONE UEM for integrado com um tipo de segurança de usuário selecionado e antes da inscrição, ative cada modo de autenticação que permitir.

  1. Vá para Dispositivos > Configurações dos Dispositivos > Dispositivos e Usuários > Geral > Inscrição na aba Autenticação.

  2. Marque as caixas de seleção apropriadas para a configuração Modo de autenticação.

    Configuração Descrição
    Adicionar domínio de e-mail Este botão é usado para configurar o serviço de detecção automática para registrar domínios de e-mail no seu ambiente.
    Modo(s) de autenticação Selecione os tipos de autenticação permitida, que incluem:

    * Básica – Contas de usuários básicas (aquelas que você cria manualmente no UEM Console) podem ser inscritas.
    * Diretório – contas de usuário do diretório (aquelas que você importou ou permitiu usando a integração do serviço de diretório) podem se inscrever. A Inscrição direta do Workspace ONE é compatível somente para usuários de diretório com ou sem SAML.
    * Proxy de Autenticação - permite que os usuários se inscrevam utilizando contas de usuário do Proxy de Autenticação. Os usuários se autenticam a um endpoint da web. Digite URL do Proxy de autenticação, URL do Proxy de autenticação backup e Tipo de método de autenticação (escolha entre básica HTTP e ActiveSync do Exchange).
    Fonte de autenticação para o Intelligent Hub Selecione o sistema que o serviço do Intelligent Hub usará como fonte para os usuários e políticas de autenticação.

    * Workspace ONE UEM – selecione essa configuração se quiser que os serviços do Hub usem o Workspace ONE UEM como fonte de usuários e políticas de autenticação. Ao configurar a página Configuração do Hub para serviços do Hub, insira o URL do tenant dos serviços do Hub.
    * Workspace ONE Access – selecione essa configuração se quiser que os serviços do Hub usem o Workspace ONE Access como fonte de usuários e políticas de autenticação.

    Ao configurar a página Configuração do Hub dos serviços do Hub, insira a URL do tenant do Workspace ONE Access.

    Observação: Se você ativar o Workspace ONE Access como a fonte de autenticação do Intelligent Hub e usar uma linha de comando para se inscrever e fazer a validação, essa configuração será ignorada em favor das credenciais fornecidas na linha de comando.

    Para obter detalhes sobre o Workspace ONE Intelligent Hub, consulte a Documentação dos serviços do VMware Workspace ONE Hub.

    Para obter detalhes sobre o Workspace ONE Access, consulte a Documentação do VMware Workspace ONE Access.
    Modo de inscrição do dispositivo Selecione o modo de inscrição do dispositivo preferencial, que inclui:

    * Inscrição aberta – essencialmente, permite que qualquer pessoa que cumpra com outros critérios de inscrição (modo de autenticação, restrições, entre outros) se inscreva. A Inscrição direta do Workspace ONE é compatível somente com inscrição aberta.
    * Somente Dispositivos Registrados - somente os usuários permitidos podem se inscrever usando os dispositivos registrados por você ou por eles. O registro do dispositivo é o processo de adicionar dispositivos corporativos ao console do UEM antes que eles sejam inscritos. A Inscrição direta do Workspace ONE é compatível, permitindo que apenas dispositivos registrados se inscrevam, mas somente se tokens de registro não forem exigidos.
    Registro com Token obrigatório Visível apenas quando Somente dispositivos registrados está selecionado.

    Se você restringir a inscrição somente aos dispositivos registrados, você também terá a opção de exigir um token de registro a ser usado na inscrição. Isso aumenta a segurança confirmando que um usuário em particular está autorizado para se inscrever. Você pode enviar um e-mail ou mensagem SMS com o token de inscrição anexado para os usuários com contas do Workspace ONE UEM.
    Exigir inscrição do Intelligent Hub no iOS Marque esta caixa de seleção para exigir que os usuários de dispositivo iOS baixem e instalem o VMware Workspace ONE Intelligent Hub antes de serem inscritos. Se for desativado, a inscrição pela Web estará disponível.
    Exige inscrição do Intelligent Hub no macOS Marque esta caixa de seleção para exigir que os usuários de dispositivos macOS baixem e instalem o Workspace ONE Intelligent Hub antes de se inscreverem. Se for desativado, a inscrição pela Web estará disponível.

  3. Selecione Salvar.

Autenticação básica do usuário

É possível usar a Autenticação básica para identificar usuários na arquitetura do Workspace ONE UEM, mas esse método não oferece integração com as contas de usuários corporativas existentes.

PRÓS

  • Compatível com qualquer método de implantação.
  • Não requer integração técnica.
  • Não exige infraestrutura empresarial.

CONTRAS

  • Incompatível com a descoberta automática.
  • As credenciais só existem no Workspace ONE UEM e não necessariamente coincidem com as credenciais corporativas.
  • Não oferece segurança federada nem Single Sign-On.
  • O Workspace ONE UEM armazena todos os nomes de usuários e senhas.
  • Incompatível com a inscrição direta do Workspace ONE.

Este diagrama mostra um dispositivo acessando o UEM Console pela Internet. O usuário do console de administração acessa Workspace ONE UEM através de um firewall.

  1. O usuário do console acessa o Workspace ONE UEM SaaS usando a conta local para autenticação (autenticação básica).
    • Credenciais criptografadas durante o transporte.
    • (por exemplo, nome de usuário: [email protected], senha: Abcd).
  2. O usuário do dispositivo inscreve o dispositivo usando as credenciais da conta local do Workspace ONE UEM (autenticação básica).
    • Credenciais criptografadas durante o transporte.
    • (por exemplo, nome de usuário: jdoe2, senha: 2557).

Active Directory com autenticação LDAP

O Active Directory (AD) com autenticação Lightweight Directory Access Protocol (LDAP) é usado para integrar as contas de usuário e administrador do Workspace ONE UEM com as contas corporativas existentes.

PRÓS

  • Os usuários agora podem se autenticar com as credenciais corporativas existentes.
  • Proteja o método de integração com LDAP/AD.
  • Prática de integração padrão.
  • Compatível com a inscrição direta do Workspace ONE.

CONTRAS

  • É necessário um servidor AD ou outro servidor LDAP.

Este diagrama mostra um dispositivo acessando o console do UEM pela Internet passando por um firewall. O UEM Console acessa os serviços de diretório.

  1. O dispositivo se conecta ao Workspace ONE UEM para inscrever o dispositivo. O usuário digita seu nome de usuário e senha dos serviços de diretório.
    • Criptografe o nome de usuário e a senha durante o transporte.
    • O Workspace ONE UEM não armazena a senha dos serviços de diretório do usuário.
  2. O Workspace ONE UEM consulta os serviços de diretório via protocolo seguro LDAP pela Internet usando uma conta de serviço para autenticação.
  3. As credenciais do usuário são validadas em relação ao serviço de diretório corporativo.
  4. Se as credenciais do usuário forem válidas, o servidor do Workspace ONE UEM inscreve o dispositivo.
check-circle-line exclamation-circle-line close-line
Scroll to top icon