AirWatch 使用组织组 (OG) 标识用户和设置权限。在将 AirWatch 与 VMware Identity Manager 集成后,管理员和注册用户 REST API 密钥将在“客户”类型的 AirWatch 组织组进行配置。
当用户从设备登录到 Workspace ONE 时,会在 VMware Identity Manager 内触发一个设备注册事件。系统会向 AirWatch 发送一个请求,以提取用户和设备组合有权使用的任何应用程序。该请求将使用 REST API 发送,以便在 AirWatch 中查找用户,并将设备放置在相应的组织组中。
要管理组织组,可在 VMware Identity Manager 中配置两个选项。
启用 AirWatch 自动发现。
将 AirWatch 组织组映射到 VMware Identity Manager 服务中的域。
如果这两个选项均未配置,Workspace ONE 将尝试在创建 REST API 密钥的组织组查找用户。该组即是客户组。
使用 AirWatch 自动发现
当在客户组织组的子组配置了单个目录,或在具有唯一电子邮件域的客户组下方配置了多个目录时,可设置自动发现。
在示例 1 中,对组织的电子邮件域注册了自动发现。用户只需在 Workspace ONE 登录页面中输入其电子邮件地址。
在此示例中,当 NorthAmerica 域中的用户登录到 Workspace ONE 时,他们需以 [email protected] 格式输入完整的电子邮件地址。应用程序会查找相应的域,并确认 NorthAmerica 组织组中存在用户,或者可以通过目录调用在 NorthAmerica 组织组中创建用户。可以注册设备。
使用 AirWatch 组织组到 VMware Identity Manager 域的映射
在多个目录配置有同一电子邮件域的情况下,可配置 VMware Identity Manager 到 AirWatch 组织组的映射。您需要在 VMware Identity Manager 管理控制台的 AirWatch 配置页面中启用将域映射到多个组织组。
如果启用了“将域映射到多个组织组”选项,则 VMware Identity Manager 中配置的域可被映射到多个 AirWatch 组织组 ID。此外,还需要管理员 REST API 密钥。
在示例 2 中,两个域被映射到不同的组织组。此外,需要一个管理员 REST API 密钥。两个组织组 ID 使用相同的管理员 REST API 密钥。
在 VMware Identity Manager 管理控制台的 AirWatch 配置页面中,可为每个域配置特定的 AirWatch 组织组 ID。
通过此配置,当用户从其设备登录到 Workspace ONE 时,设备注册请求会尝试从组织组 Europe 的 Domain3 中查找用户,或从组织组 AsiaPacific 的 Domain4 中查找用户。
在示例 3 中,一个域被映射到多个 AirWatch 组织组。两个目录共用同一电子邮件域。该域指向相同的 AirWatch 组织组。
在此配置中,当用户登录到 Workspace ONE 时,应用程序会提示用户选择他们想要注册到的组。在此示例中,用户可以选择“Engineering”或“Accounting”。
将设备放置在正确的组织组中
在成功找到用户记录后,设备会被添加到相应的组织组中。AirWatch 注册设置组 ID 分配模式决定要放置设备的组织组。此设置位于“系统设置”>“设备与用户”>“常规”>“注册”>“分组”页面中。
在示例 4 中,所有用户都位于 Corporate 组织组级别。
设备放置位置取决于在 Corporate 组织组级别为“组 ID 分配模式”选择的配置。
如果选择“默认”,设备将放置在用户所在的同一组中。对于示例 4,设备将放置在 Corporate 组中。
如果选择“提示用户选择组 ID”,系统将提示用户选择要将其设备注册到的组。对于示例 4,用户将在 Workspace ONE 应用程序中看到一个包含“Engineering”和“Accounting”选项的下拉菜单。
如果选择“基于用户组自动选择”,设备将根据其在 AirWatch 管理控制台中的用户组分配和相应映射放置在“Engineering”或“Accounting”中。
了解隐藏组的概念
在示例 4 中,当系统提示用户选择要从中注册的组织组时,用户还可以输入 Workspace ONE 应用程序显示的列表中未包含的组 ID 值。这就是隐藏组的概念。
在示例 5 的 Corporate 组织组结构中,North America 和 Beta 配置为 Corporate 下属的组。
在示例 5 中,用户可在 Workspace ONE 内输入其电子邮件地址。在进行身份验证后,用户会看到一个列表,其中显示了“Engineering”和“Accounting”以供选择。Beta 不是显示的选项。如果用户知道组织组 ID,他们可以在组选择文本框中手动输入 Beta,以将其设备成功注册到 Beta。