基于每组织组覆盖设置的概念在与组织组 (OG) 特性(例如继承和多租户)结合使用时,可以进一步与身份验证相结合。此组合提供灵活的配置。

以下组织组模型说明了这种灵活性。

此图显示了由父项、子项和孙项组成的组织组层次结构模型。

在此模型中,管理员(通常拥有更大的权限和功能)位于此组织组分支的最上层。这些管理员使用特定于管理员的 SAML 登录到其组织组。

企业用户隶属管理员,因此其组织组会被归为管理员的子项。如果是一般用户而非管理员,则其 SAML 登录设置无法继承管理员设置。因此,企业用户的 SAML 设置会被覆盖。

BYOD 用户与企业用户不同。BYOD 用户使用的设备属于用户自己,并且可能包含更多个人信息。因此,这些设备配置文件可能需要略有不同的设置。BYOD 用户可能采用不同的使用条款协议。BYOD 设备可能需要不同的企业擦除参数。鉴于上述所有原因及其他因素,BYOD 用户可能需要登录到单独的组织组。

虽然从企业层次结构意义上讲,BYOD 用户不属于企业用户,但将 BYOD 用户归为企业用户的子项具有诸多益处。这种安排意味着 BYOD 用户只需将适用于所有企业用户设备的设置应用到企业用户组织组,就可以继承这些设置。

继承也适用于 SAML 身份验证设置。由于 BYOD 用户是企业用户的子项,因此 BYOD 用户会继承其 SAML 来获取用户身份验证设置。

备用模式用于将 BYOD 用户设置为与企业用户同级。

此图显示了由父项和两个子项组成的组织组层次结构模型。

在备用模式下,会发生以下情况。

  • 旨在全局应用到所有设备的所有设备配置文件(包括合规策略)和其他全局适用的设备设置都会应用到两个组织组,而不是其中一个。需要进行这种复制的原因是:在此模式下,不再进行从企业用户到 BYOD 用户的继承。企业用户和 BYOD 用户是对等的,因此不会进行任何继承。
  • 另一 SAML 覆盖必须应用于 BYOD 用户。此覆盖是必要的,因为系统假定它从其父项(即管理员)继承 SAML 设置。这种假定是错误的,因为 BYOD 用户不是管理员,与管理员具有不同的访问权和权限。
  • BYOD 用户继续与企业用户分开处理。在这种备用模式下,BYOD 用户继续使用其自己的设备配置文件设置。

确定最佳模式的因素有哪些?将全局适用的设备设置数与特定于组的设备设置数进行比较。基本上,如果您想要采用大致相同的方式处理所有设备,则请考虑将 BYOD 用户设置为企业用户的子项。如果维护单独的设置更重要,则请考虑将 BYOD 用户设置为与企业用户同级。