O AirWatch usa grupos organizacionais (GO) para identificar usuários e estabelecer permissões. Quando o AirWatch está integrado ao VMware Identity Manager, as chaves da REST API do usuário de inscrição e administrador são configuradas no tipo de grupo organizacional do AirWatch chamado Cliente.
Quando os usuários fazem logon no Workspace ONE de um dispositivo, um evento de registro do dispositivo é acionado no VMware Identity Manager. Uma solicitação é enviada para o AirWatch para efetuar pull de todos os aplicativos que a combinação de usuário e dispositivo tem direito. A solicitação é enviada usando a REST API para localizar o usuário no AirWatch e para colocar o dispositivo no grupo organizacional apropriado.
Para gerenciar grupos organizacionais, é possível configurar duas opções no VMware Identity Manager.
Habilitar a detecção automática do AirWatch.
Mapeie os grupos organizacionais do AirWatch para domínios no serviço do VMware Identity Manager.
Se nenhuma dessas duas opções estiver configurada, o Workspace ONE tentará localizar o usuário no grupo organizacional onde a chave da REST API foi criada. Esse é o grupo Cliente.
Usando a detecção automática do AirWatch
Configure a Detecção Automática quando um único diretório estiver configurado em um grupo herdeiro para o Grupo organizacional do cliente ou quando vários diretórios estiverem configurados abaixo do grupo Cliente com domínios de e-mail exclusivos.
No exemplo 1, o domínio de e-mail da organização está registrado para detecção automática. Os usuários digitam apenas seu endereço de e-mail na página de logon do Workspace ONE.
Neste exemplo, quando os usuários no domínio NorthAmerica fazem logon no Workspace ONE, eles digitam o endereço de e-mail completo como [email protected]. O aplicativo procura o domínio e verifica se o usuário existe ou pode ser criado com uma chamada de diretório no grupo organizacional NorthAmerica. O dispositivo pode ser registrado.
Usando mapeamento de grupo organizacional do AirWatch para domínios do VMware Identity Manager
Configure o VMware Identity Manager para o mapeamento do grupo organizacional do AirWatch quando vários diretórios são configurados com o mesmo domínio de e-mail. Você habilita Mapear Domínios para Vários Grupos Organizacionais na página de configuração do AirWatch no console de administração do VMware Identity Manager.
Quando a opção Mapear Domínios para Vários Grupos Organizacionais está habilitada, os domínios configurados no VMware Identity Manager podem ser mapeados para IDs de grupos organizacionais do AirWatch. A chave da REST API de administrador também é necessária.
No exemplo 2, dois domínios são mapeados para diferentes grupos organizacionais. É necessária uma chave da REST API de administrador. A mesma chave da REST API de administrador é usada para ambas as IDs do grupo organizacional.
Na página de configuração do AirWatch no console de administração do VMware Identity Manager, configure uma ID específica do grupo organizacional do AirWatch para cada domínio.
Com esta configuração, quando os usuários fazem logon no Workspace ONE do seu dispositivo, a solicitação de registro do dispositivo tenta localizar usuários do Domain3 no grupo organizacional Europe e usuários do Domain4 no grupo organizacional AsiaPacific.
No exemplo 3, um domínio é mapeado para vários grupos organizacionais do AirWatch. Ambos os diretórios compartilham o domínio de e-mail. O domínio aponta para o mesmo grupo organizacional do AirWatch.
Nesta configuração, quando os usuários fazem logon no Workspace ONE, o aplicativo solicita que os usuários selecionem o grupo em que eles desejam se registrar. Neste exemplo, os usuários podem selecionar Engenharia ou Contabilidade.
Colocando os dispositivos no grupo organizacional correto
Quando um registro de usuário é localizado com êxito, o dispositivo é adicionado ao grupo organizacional apropriado. O Modo de Atribuição de ID de Grupo da configuração de inscrição do AirWatch determina o grupo organizacional a colocar o dispositivo. Esta configuração está na página Configurações do Sistema > Dispositivo e Usuários > Geral > Inscrição > Agrupar.
No exemplo 4, todos os usuários estão no nível do grupo organizacional Corporação.
A colocação do dispositivo depende da configuração selecionada para o Modo de Atribuição de ID de Grupo no grupo organizacional Corporação.
Se Padrão for selecionado, o dispositivo será colocado no mesmo grupo onde o usuário está localizado. Para o exemplo 4, o dispositivo é colocado no grupo Corporação.
Se a opção Avisar Usuário para Selecionar ID de Grupo for selecionada, os usuários serão solicitados a selecionar qual grupo registrar seu dispositivo. Para o exemplo 4, os usuários veem um menu suspenso no aplicativo Workspace ONE com Engenharia e Contabilidade como opções.
Se a opção Selecionado Automaticamente com Base no Grupo de Usuários for selecionada, os dispositivos serão colocados em Engenharia ou Contabilidade com base na atribuição do grupo de usuários e no mapeamento correspondente no console de administração da AirWatch.
Entendendo o conceito de um grupo oculto
No exemplo 4, quando os usuários são solicitados a selecionar um grupo organizacional para se registrar, os usuários também podem digitar um valor de ID de grupo que não esteja na lista apresentada no aplicativo Workspace ONE. Este é o conceito de um grupo oculto.
No exemplo 5, na estrutura do grupo organizacional Corporação, América do Norte e Beta são configurados como grupos em Corporação.
No exemplo 5, os usuários digitam seu endereço de e-mail no Workspace ONE. Após a autenticação, os usuários mostram uma lista que exibe Engenharia e Contabilidade para escolher. Beta não é uma opção exibida. Se os usuários conhecem a ID do grupo organizacional, eles poderão digitar manualmente Beta na caixa de texto da seleção do grupo e registrar com êxito seu dispositivo em Beta.
