O Workspace ONE UEM usa grupos organizacionais (GO) para identificar usuários e estabelecer permissões. Quando o Workspace ONE UEM está integrado ao VMware Identity Manager, as chaves da REST API do usuário de inscrição e administrador são configuradas no tipo de grupo organizacional do Workspace ONE UEM chamado Cliente.

Quando os usuários fazem logon no Workspace ONE de um dispositivo, um evento de registro do dispositivo é acionado no VMware Identity Manager. Uma solicitação é enviada para o Workspace ONE UEM para efetuar pull de todos os aplicativos que a combinação de usuário e dispositivo tem direito. A solicitação é enviada usando a REST API para localizar o usuário no Workspace ONE UEM e para colocar o dispositivo no grupo organizacional apropriado.

Para gerenciar grupos organizacionais, é possível configurar duas opções no VMware Identity Manager.

  • Habilitar a detecção automática do Workspace ONE UEM.

  • Mapeie os grupos organizacionais do Workspace ONE UEM para domínios no serviço do VMware Identity Manager.

Se nenhuma dessas duas opções estiver configurada, o Workspace ONE tentará localizar o usuário no grupo organizacional onde a chave da REST API foi criada. Esse é o grupo Cliente.

Usando a detecção automática do Workspace ONE UEM

Configure a Detecção Automática quando um único diretório estiver configurado em um grupo herdeiro para o Grupo organizacional do cliente ou quando vários diretórios estiverem configurados abaixo do grupo Cliente com domínios de e-mail exclusivos.

Figura 1. Exemplo 1

No exemplo 1, o domínio de e-mail da organização está registrado para detecção automática. Os usuários digitam apenas seu endereço de e-mail na página de logon do Workspace ONE.

Neste exemplo, quando os usuários no domínio NorthAmerica fazem logon no Workspace ONE, eles digitam o endereço de e-mail completo como user1@domain1.com. O aplicativo procura o domínio e verifica se o usuário existe ou pode ser criado com uma chamada de diretório no grupo organizacional NorthAmerica. O dispositivo pode ser registrado.

Usando mapeamento de grupo organizacional do Workspace ONE UEM para domínios do VMware Identity Manager

Configure o serviço do VMware Identity Manager para o mapeamento do grupo organizacional do Workspace ONE UEM quando vários diretórios são configurados com o mesmo domínio de e-mail. Você habilita Mapear Domínios para Vários Grupos de Organizações na página de configuração da AirWatch no console do VMware Identity Manager.

Quando a opção Mapear Domínios para Vários Grupos de Organizações está habilitada, os domínios configurados no VMware Identity Manager podem ser mapeados para os IDs de grupos organizacionais do Workspace ONE UEM. A chave da REST API de administrador também é necessária.

No exemplo 2, dois domínios são mapeados para diferentes grupos organizacionais. É necessária uma chave da REST API de administrador. A mesma chave da REST API de administrador é usada para ambas as IDs do grupo organizacional.

Figura 2. Exemplo 2

Na página de configuração da AirWatch no console do VMware Identity Manager, configure um ID específico do grupo organizacional do Workspace ONE UEM para cada domínio.

Figura 3. Exemplo 2: Configuração do grupo organizacional

Com esta configuração, quando os usuários fazem logon no Workspace ONE do seu dispositivo, a solicitação de registro do dispositivo tenta localizar usuários do Domain3 no grupo organizacional Europe e usuários do Domain4 no grupo organizacional AsiaPacific.

No exemplo 3, um domínio é mapeado para vários grupos organizacionais do Workspace ONE UEM. Ambos os diretórios compartilham o domínio de e-mail. O domínio aponta para o mesmo grupo organizacional do Workspace ONE UEM.

Figura 4. Exemplo 3

Nesta configuração, quando os usuários fazem logon no Workspace ONE, o aplicativo solicita que os usuários selecionem o grupo em que eles desejam se registrar. Neste exemplo, os usuários podem selecionar Engenharia ou Contabilidade.

Figura 5. Grupos organizacionais onde os diretórios compartilham o mesmo domínio

Colocando os dispositivos no grupo organizacional correto

Quando um registro de usuário é localizado com êxito, o dispositivo é adicionado ao grupo organizacional apropriado. O Modo de Atribuição de ID de Grupo da configuração de inscrição do Workspace ONE UEM determina o grupo organizacional a colocar o dispositivo. Essa configuração está na página Configurações do Sistema > Dispositivo e Usuários > Geral > Inscrição > Agrupamento no Workspace ONE UEM Console.

Figura 6. Inscrição do grupo do Workspace ONE UEM para dispositivos

No exemplo 4, todos os usuários estão no nível do grupo organizacional Corporação.

Figura 7. Exemplo 4

A colocação do dispositivo depende da configuração selecionada para o Modo de Atribuição de ID de Grupo no grupo organizacional Corporação.

  • Se Padrão for selecionado, o dispositivo será colocado no mesmo grupo onde o usuário está localizado. Para o exemplo 4, o dispositivo é colocado no grupo Corporação.

  • Se a opção Avisar Usuário para Selecionar ID de Grupo for selecionada, os usuários serão solicitados a selecionar qual grupo registrar seu dispositivo. Para o exemplo 4, os usuários veem um menu suspenso no aplicativo Workspace ONE com Engenharia e Contabilidade como opções.

  • Se a opção Selecionado Automaticamente com Base no Grupo de Usuários for selecionada, os dispositivos serão colocados em Engenharia ou Contabilidade com base na atribuição do grupo de usuários e no mapeamento correspondente no console do Workspace ONE UEM.

Entendendo o conceito de um grupo oculto

No exemplo 4, quando os usuários são solicitados a selecionar um grupo organizacional para se registrar, os usuários também podem digitar um valor de ID de grupo que não esteja na lista apresentada no aplicativo Workspace ONE. Este é o conceito de um grupo oculto.

No exemplo 5, na estrutura do grupo organizacional Corporação, América do Norte e Beta são configurados como grupos em Corporação.

Figura 8. Exemplo 5

No exemplo 5, os usuários digitam seu endereço de e-mail no Workspace ONE. Após a autenticação, os usuários mostram uma lista que exibe Engenharia e Contabilidade para escolher. Beta não é uma opção exibida. Se os usuários conhecem a ID do grupo organizacional, eles poderão digitar manualmente Beta na caixa de texto da seleção do grupo e registrar com êxito seu dispositivo em Beta.