O AirWatch usa grupos organizacionais (GO) para identificar usuários e estabelecer permissões. Quando o AirWatch está integrado ao VMware Identity Manager, as chaves da REST API do usuário de inscrição e administrador são configuradas no tipo de grupo organizacional do AirWatch chamado Cliente.

Quando os usuários fazem logon no Workspace ONE de um dispositivo, um evento de registro do dispositivo é acionado no VMware Identity Manager. Uma solicitação é enviada para o AirWatch para efetuar pull de todos os aplicativos que a combinação de usuário e dispositivo tem direito. A solicitação é enviada usando a REST API para localizar o usuário no AirWatch e para colocar o dispositivo no grupo organizacional apropriado.

Para gerenciar grupos organizacionais, é possível configurar duas opções no VMware Identity Manager.

  • Habilitar a detecção automática do AirWatch.

  • Mapeie os grupos organizacionais do AirWatch para domínios no serviço do VMware Identity Manager.

Se nenhuma dessas duas opções estiver configurada, o Workspace ONE tentará localizar o usuário no grupo organizacional onde a chave da REST API foi criada. Esse é o grupo Cliente.

Usando a detecção automática do AirWatch

Configure a Detecção Automática quando um único diretório estiver configurado em um grupo herdeiro para o Grupo organizacional do cliente ou quando vários diretórios estiverem configurados abaixo do grupo Cliente com domínios de e-mail exclusivos.

Figura 1. Exemplo 1

No exemplo 1, o domínio de e-mail da organização está registrado para detecção automática. Os usuários digitam apenas seu endereço de e-mail na página de logon do Workspace ONE.

Neste exemplo, quando os usuários no domínio NorthAmerica fazem logon no Workspace ONE, eles digitam o endereço de e-mail completo como user1@domain1.com. O aplicativo procura o domínio e verifica se o usuário existe ou pode ser criado com uma chamada de diretório no grupo organizacional NorthAmerica. O dispositivo pode ser registrado.

Usando mapeamento de grupo organizacional do AirWatch para domínios do VMware Identity Manager

Configure o VMware Identity Manager para o mapeamento do grupo organizacional do AirWatch quando vários diretórios são configurados com o mesmo domínio de e-mail. Você habilita Mapear Domínios para Vários Grupos Organizacionais na página de configuração do AirWatch no console de administração do VMware Identity Manager.

Quando a opção Mapear Domínios para Vários Grupos Organizacionais está habilitada, os domínios configurados no VMware Identity Manager podem ser mapeados para IDs de grupos organizacionais do AirWatch. A chave da REST API de administrador também é necessária.

No exemplo 2, dois domínios são mapeados para diferentes grupos organizacionais. É necessária uma chave da REST API de administrador. A mesma chave da REST API de administrador é usada para ambas as IDs do grupo organizacional.

Figura 2. Exemplo 2

Na página de configuração do AirWatch no console de administração do VMware Identity Manager, configure uma ID específica do grupo organizacional do AirWatch para cada domínio.

Figura 3. Exemplo 2: Configuração do grupo organizacional

Com esta configuração, quando os usuários fazem logon no Workspace ONE do seu dispositivo, a solicitação de registro do dispositivo tenta localizar usuários do Domain3 no grupo organizacional Europe e usuários do Domain4 no grupo organizacional AsiaPacific.

No exemplo 3, um domínio é mapeado para vários grupos organizacionais do AirWatch. Ambos os diretórios compartilham o domínio de e-mail. O domínio aponta para o mesmo grupo organizacional do AirWatch.

Figura 4. Exemplo 3

Nesta configuração, quando os usuários fazem logon no Workspace ONE, o aplicativo solicita que os usuários selecionem o grupo em que eles desejam se registrar. Neste exemplo, os usuários podem selecionar Engenharia ou Contabilidade.

Figura 5. Grupos organizacionais onde os diretórios compartilham o mesmo domínio

Colocando os dispositivos no grupo organizacional correto

Quando um registro de usuário é localizado com êxito, o dispositivo é adicionado ao grupo organizacional apropriado. O Modo de Atribuição de ID de Grupo da configuração de inscrição do AirWatch determina o grupo organizacional a colocar o dispositivo. Esta configuração está na página Configurações do Sistema > Dispositivo e Usuários > Geral > Inscrição > Agrupar.

Figura 6. Inscrição do grupo do AirWatch para dispositivos

No exemplo 4, todos os usuários estão no nível do grupo organizacional Corporação.

Figura 7. Exemplo 4

A colocação do dispositivo depende da configuração selecionada para o Modo de Atribuição de ID de Grupo no grupo organizacional Corporação.

  • Se Padrão for selecionado, o dispositivo será colocado no mesmo grupo onde o usuário está localizado. Para o exemplo 4, o dispositivo é colocado no grupo Corporação.

  • Se a opção Avisar Usuário para Selecionar ID de Grupo for selecionada, os usuários serão solicitados a selecionar qual grupo registrar seu dispositivo. Para o exemplo 4, os usuários veem um menu suspenso no aplicativo Workspace ONE com Engenharia e Contabilidade como opções.

  • Se a opção Selecionado Automaticamente com Base no Grupo de Usuários for selecionada, os dispositivos serão colocados em Engenharia ou Contabilidade com base na atribuição do grupo de usuários e no mapeamento correspondente no console de administração da AirWatch.

Entendendo o conceito de um grupo oculto

No exemplo 4, quando os usuários são solicitados a selecionar um grupo organizacional para se registrar, os usuários também podem digitar um valor de ID de grupo que não esteja na lista apresentada no aplicativo Workspace ONE. Este é o conceito de um grupo oculto.

No exemplo 5, na estrutura do grupo organizacional Corporação, América do Norte e Beta são configurados como grupos em Corporação.

Figura 8. Exemplo 5

No exemplo 5, os usuários digitam seu endereço de e-mail no Workspace ONE. Após a autenticação, os usuários mostram uma lista que exibe Engenharia e Contabilidade para escolher. Beta não é uma opção exibida. Se os usuários conhecem a ID do grupo organizacional, eles poderão digitar manualmente Beta na caixa de texto da seleção do grupo e registrar com êxito seu dispositivo em Beta.