设备在能够注册之前,其每个用户都必须拥有一个获得Workspace ONE UEM认可的真实用户帐户。您选择的用户身份验证类型取决于您组织的需求。

身份验证代理服务器

身份验证代理服务器可为云部署或强化的内部网络提供目录服务集成功能。此型号的 Workspace ONE UEM 服务器可与一台面向公众的 Web 服务器或一台 Exchange ActiveSync 服务器进行通信。这种安排参照域控制器对用户进行身份验证。

优点

  • 提供一种让代理服务器与 AD/LDAP 跨云集成的安全方法。
  • 最终用户可使用现有公司凭证进行身份验证。
  • 轻量型模块需要最少的配置。

缺点

  • 需要一台连接 AD/LDAP 服务器的面向公众的 Web 服务器或 Exchange ActiveSync 服务器。
  • 仅适用于特定的架构布局。
  • 解决方案的健全度远不如 VMware 企业系统连接器。
  • 不能用于 Workspace ONE 直接注册。

此图显示了反向代理服务器充当目录服务和 Workspace ONE SaaS 模式的媒介。

  1. 设备通过与Workspace ONE UEM连接来注册。用户输入其目录服务用户名和密码。
    • 用户名和密码在传输期间受到加密保护。
    • Workspace ONE UEM不存储用户的目录服务密码。
  2. Workspace ONE UEM 会将用户名和密码中继到已配置的需要身份验证的身份验证代理服务器端点(例如基本身份验证)。
  3. 对照企业目录服务验证用户的凭证。
  4. 如果用户凭证有效,Workspace ONE UEM服务器将允许设备完成注册。

Active Directory 与 LDAP 身份验证和 VMware Enterprise Systems Connector

Active Directory 与 LDAP 身份验证和 VMware Enterprise Systems Connector 拥有与传统 AD 和 LDAP 身份验证相同的功能。此模式可以跨云发挥软件即服务 (SaaS) 部署的作用。

优点

  • 最终用户可以使用现有企业凭证进行身份验证。
  • 不需要更改防火墙,因为通信是从 VMware 企业系统连接器在您的网络内部发起的。
  • 凭证传输设有加密和安全防护。
  • 可为 BES、Microsoft ADCS、SCEP 和 SMTP 服务器等其他基础架构提供安全配置。
  • 可用于 Workspace ONE ™ 直接注册。

缺点

  • 需要在防火墙后或 DMZ 内安装 VMware 企业系统连接器。
  • 需要进行额外配置。

SaaS 部署模式

此图显示了穿越防火墙在云端为 Workspace ONE 提供服务、同时访问内部网络资源的 VMware 云连接器。

本地部署模式

此图显示了访问 DMZ 中的设备服务的设备,该设备由内部网络资源穿越防火墙提供服务。

SAML 2.0 身份验证

安全声明标记语言 (SAML) 2.0 身份验证提供单点登录支持和联合身份验证。Workspace ONE UEM永远不会接收任何企业凭证。

如果组织拥有一台 SAML 身份提供商服务器,请使用 SAML 2.0 集成。请确保身份提供程序返回 objectGUID 属性作为 SAML 响应的一部分。

优点

  • 提供单点登录功能。
  • 使用现有企业凭证进行身份验证。
  • Workspace ONE UEM永远不会接收纯文本格式的企业凭证。
  • 与 SAML 目录用户配对时可用于 Workspace ONE 直接注册。
  • 只为管理员支持多域环境。

缺点

  • 需要有企业 SAML 标识提供商基础架构。
  • 与 SAML 基本用户配对时不可用于 Workspace ONE 直接注册。
  • 将 SAML 与 Workspace ONE Access 配置为启用了本地基本用户功能的 IDP 不支持基本用户身份验证。

    此图显示 Workspace ONE SaaS 服务器通过 Internet 从设备接收输入并穿越防火墙访问 SAML 身份提供程序。

    1. 设备与Workspace ONE UEM连接来进行注册。然后,UEM 服务器会将设备重定向到客户端指定的身份提供程序。
    2. 设备通过 HTTPS 安全连接到客户端提供的身份提供程序,然后用户输入凭证。
      • 凭证在设备和 SAML 端点之间直接传输时得到加密保护。
    3. 对照目录服务验证凭证。
    4. 身份提供程序返回已签字的 SAML 回复及通过身份验证的用户名。
    5. 设备回应Workspace ONE UEM服务器并出示已签字的 SAML 消息。用户通过身份验证。

    有关详细信息,请参阅手动设置目录服务,然后向下滚动到 SAML 部分。

  • SaaS 应用对使用 Workspace ONE Access 进行身份验证的 SAML 管理员不可用。

适用于 SAML 管理员的 SaaS 应用功能

如果您是使用 Workspace ONE Access 进行身份验证的 SAML 管理员,则将无法使用 SaaS 应用程序以及其他 Workspace ONE Access 策略和功能。导航到“SaaS 应用”页面时,您将看到以下错误消息。

检查您的管理员帐户是否存在于 UEM 和 IDM 系统中,以及 Workspace ONE UEM 中的域是否与 VMware Identity Manager 中相同帐户的域完全匹配。

要还原 SaaS 应用可访问性,您必须使用基本身份验证登录 Workspace ONE UEM,并且还必须在组织组启用 Workspace ONE Access

基于令牌的身份验证

基于令牌的身份验证是用户注册其设备的最简便方法。使用此注册设置时,Workspace ONE UEM 将生成一个令牌,放置于注册 URL 内。

在使用单一令牌身份验证时,用户从设备上通过相关链接来完成注册,而 Workspace ONE UEM 服务器则会参照向用户提供的令牌。

为了进一步加强安全,可以为每个令牌设置一个失效时间(以小时计)。设置失效时间可以尽量避免出现其他用户访问设备中的任何信息和功能的情况。

您还可以酌情实施双重身份验证,让最终用户的身份验证更进一步。使用此身份验证设置时,用户必须在使用提供的令牌访问注册链接后,输入其用户名和密码。

优点

  • 最终用户在注册和验证其设备时省时省力。
  • 通过设置失效日期来确保令牌使用安全。
  • 用户使用单一令牌进行身份验证时不需要凭证。

缺点

  • 需要集成简单邮件传输协议 (SMTP) 或短消息服务 (SMS) 才能将令牌发送到设备。

此图显示管理员用户向注册用户提供单用途令牌。

  1. 管理员授权用户设备登记。
  2. 已生成一次性令牌并从 Workspace ONE UEM 发送给用户。
  3. 用户接收令牌,并导航至注册 URL。用户按照提示提供令牌,并选择性使用双因素身份验证。
  4. 设备注册流程。
  5. Workspace ONE UEM 将令牌标记为已过期。
注: SaaS 部署中包含 SMTP。

针对注册启用安全类型

Workspace ONE UEM 与选定的用户安全类型集成之后,在注册之前,请启用您准备使用的各种身份验证模式。

  1. 导航到设备 > 设备设置 > 设备与用户 > 常规 > 注册下的身份验证选项卡。
  2. 身份验证模式设置选中相应的复选框。
    设置 说明
    添加电子邮件域名 此按钮用于设置自动发现服务,以将电子邮件域注册到您的环境。
    身份验证模式

    选择允许的身份验证类型,其中包括:

    • 基本 – 基本用户帐户(您在 UEM Console 中手动创建的帐户)可以注册。
    • 目录– 目录用户帐户(已使用目录服务集成导入或允许的帐户)可以注册。Workspace ONE 直接注册支持目录用户,而不管是否具有 SAML。
    • 身份验证代理 – 允许用户使用身份验证代理用户帐户注册。用户向网络端点进行身份验证。
      • 依次输入身份验证代理 URL身份验证代理 URL 备份身份验证方法类型(在“HTTP 基本”和 Exchange ActiveSync 中选择其一)。
    Intelligent Hub 身份验证源

    选择 Intelligent Hub 用作用户和身份验证策略源的系统。

    • Workspace ONE UEM – 如果您希望 Hub 服务使用 Workspace ONE UEM 作为用户和身份验证策略的源,请选择此设置。

      为 Hub 服务配置 Hub 配置页面后,输入 Hub 服务租户 URL。

    • Workspace ONE Access – 如果您希望 Hub 服务使用 Workspace ONE Access 作为用户和身份验证策略的源,请选择此设置。

      为 Hub 服务配置 Hub 配置页面后,输入 Workspace ONE Access 租户 URL。

    有关 Workspace ONE Intelligent Hub 的详细信息,请参阅 Mware Workspace ONE Hub 服务文档

    有关 Workspace ONE Access 的详细信息,请参阅 VMware Workspace ONE Access 文档

    设备注册模式

    选择首选设备注册模式,其中包括:

    • 开放注册 – 实质上允许满足其他注册条件(身份验证模式、限制等)的任何设备进行注册。Workspace ONE 直接注册支持开放注册。
    • 仅限登记的设备注册– 仅允许用户使用您或他们已登记的设备进行注册。设备登记是在注册设备之前将企业设备添加到 UEM Console 的过程。Workspace ONE 直接注册支持仅允许已登记的设备进行注册,但仅在不需要登记令牌时才支持。
    需要登记令牌

    选择仅限登记的设备注册时才显示。

    如果您将注册限制为仅限登记的设备,也可选择要求提供要用于注册的登记令牌。此选项通过确认特定用户有权进行注册来提高安全性。您可以向具有 Workspace ONE UEM帐户的用户发送电子邮件或短信并附上注册令牌。

    要求 iOS 设备使用 Intelligent Hub 注册 选中此复选框后,要求 iOS 设备用户先下载并安装Workspace ONE Intelligent Hub,然后才能注册。停用此选项时,可以使用 Web 注册。
    要求 macOS 设备使用 Intelligent Hub 注册 选中此复选框后,要求 macOS 设备用户先下载并安装Workspace ONE Intelligent Hub,然后才能注册。停用此选项时,可以使用 Web 注册。
  3. 选择保存

基本用户身份验证

您可以使用基本身份验证识别 Workspace ONE UEM体系结构中的用户,但此方法不提供与现有企业用户帐户的集成功能。

优点

  • 可在任何部署方式中使用。
  • 不需要技术集成。
  • 不需要企业基础架构。

缺点

  • 不能与 Auto Discovery 同时使用。
  • 仅能在 Workspace ONE UEM中找到凭证,而且还不一定会与现有的企业凭证匹配。
  • 不提供联合安全或单点登录。
  • Workspace ONE UEM会存储所有用户名和密码。
  • 不能用于 Workspace ONE 直接注册。

  1. 控制台用户使用本地帐户登录到 Workspace ONE UEMSaaS 进行身份验证(基本身份验证)
    • 凭证在传输期间受到加密保护。
    • (例如,用户名:jdoe@air-watch.com,密码:Abcd)。
  2. 设备用户使用本地 Workspace ONE UEM帐户(基本身份验证)凭证注册设备
    • 凭证在传输期间受到加密保护。
    • (例如,用户名:jdoe2,密码:2557)。

Active Directory 与 LDAP 身份验证

利用 Active Directory (AD)/轻型目录访问协议 (LDAP) 身份验证功能,Workspace ONE UEM用户和管理员帐户能够与现有企业帐户集成。

优点

  • 最终用户现在可以使用现有企业凭证进行身份验证。
  • 与 LDAP/AD 集成的安全方法。
  • 标准的集成做法。
  • 可用于 Workspace ONE 直接注册。

缺点

  • 需要 AD 或其他 LDAP 服务器。

此图显示了穿越防火墙通过 Internet 访问 UEM Console 的设备。UEM Console 访问目录服务。

  1. 设备通过与Workspace ONE UEM连接来注册。用户输入其目录服务用户名和密码。
    • 用户名和密码在传输期间受到加密保护。
    • Workspace ONE UEM不存储用户的目录服务密码。
  2. Workspace ONE UEM通过安全 LDAP 协议在 Internet 上查询客户端的目录服务,同时使用服务帐户进行身份验证。
  3. 对照企业目录服务验证用户的凭证。
  4. 如果用户凭证有效,Workspace ONE UEM服务器将允许设备完成注册。