用户身份验证类型

在注册设备之前，每个设备用户都必须拥有 Workspace ONE UEM 认可的身份验证用户帐户。您选择的用户身份验证类型取决于您组织的需求。

身份验证代理服务器

身份验证代理服务器可为云部署或强化的内部网络提供目录服务集成功能。在此模式下，Workspace ONE UEM 服务器与一台面向公众的 Web 服务器或 Exchange ActiveSync 服务器进行通信。这种安排参照域控制器对用户进行身份验证。

优点

将代理服务器与 AD/LDAP 跨云集成的安全方法。
最终用户可以使用现有企业凭证进行身份验证。
轻量型模块需要最少的配置。

缺点

需要连接 AD/LDAP 服务器的面向公众的 Web 服务器或 Exchange ActiveSync 服务器。
仅适用于特定的架构布局。
解决方案的健全度不如 VMware 企业系统连接器。
不能用于 Workspace ONE 直接注册。

此图显示了反向代理服务器充当目录服务和 Workspace ONE SaaS 模式的媒介。

设备连接到 Workspace ONE UEM 来注册设备。用户输入其目录服务用户名和密码。
- 在传输过程中加密的用户名和密码。
- Workspace ONE UEM不会存储用户的目录服务密码。
Workspace ONE UEM 将用户名和密码中继到配置的身份验证代理服务器端点，后者需要身份验证（如基本身份验证）。
对照企业目录服务验证用户的凭证。
如果用户凭据有效，则Workspace ONE UEM服务器会注册设备。

Active Directory 与 LDAP 身份验证和 VMware Enterprise Systems Connector

Active Directory 与 LDAP 身份验证和 VMware Enterprise Systems Connector 拥有与传统 AD 和 LDAP 身份验证相同的功能。此模式可以跨云发挥软件即服务 (SaaS) 部署的作用。

优点

最终用户可以使用现有企业凭证进行身份验证。
不需要更改防火墙，因为通信是从 VMware Enterprise Systems Connector 在您的网络内部发起的。
凭证传输会安全加密。
可为 BES、Microsoft ADCS、SCEP 和 SMTP 服务器等其他基础架构提供安全配置。
与 Workspace ONE ™ 直接注册兼容。

缺点

需要在防火墙后或 DMZ 内安装 VMware 企业系统连接器。
需要进行额外配置。

SaaS 部署模式

此图显示了穿越防火墙在云端为 Workspace ONE 提供服务、同时访问内部网络资源的 VMware 云连接器。

本地部署模式

此图显示了访问 DMZ 中的设备服务的设备，该设备由内部网络资源穿越防火墙提供服务。

SAML 2.0 身份验证

安全声明标记语言 (SAML) 2.0 身份验证提供单点登录支持和联合身份验证。Workspace ONE UEM 永不接收任何企业凭证。

如果组织拥有一台 SAML 身份提供商服务器，请使用 SAML 2.0 集成。请确保身份提供程序返回 objectGUID 属性作为 SAML 响应的一部分。

优点

提供单点登录功能。
使用现有企业凭证进行身份验证。
Workspace ONE UEM 永不接收纯文本格式的企业凭证。
与 SAML 目录用户配对时与 Workspace ONE 直接注册兼容。
只有管理员才能使用多域环境。

缺点

需要有企业 SAML 标识提供商基础架构。
与 SAML 基本用户配对时与 Workspace ONE 直接注册不兼容。
将 SAML 与 Workspace ONE Access 配置为启用了本地基本用户功能的 IDP 不支持基本用户身份验证。
1. 设备连接到 Workspace ONE UEM 进行注册。然后，UEM 服务器会将设备重定向到客户端指定的身份提供程序。
2. 设备通过 HTTPS 安全连接到客户端提供的身份提供程序，然后用户输入凭证。
  - 凭证在设备和 SAML 端点之间直接传输时得到加密保护。
3. 凭证根据目录服务进行验证。
4. 身份提供程序返回已签字的 SAML 回复及通过身份验证的用户名。
5. 设备再响应 Workspace ONE UEM 服务器并出示已签名的 SAML 消息。用户进行身份验证。有关详细信息，请参阅手动设置目录服务，然后向下滚动到 SAML 部分。
SaaS 应用对使用 Workspace ONE Access 进行身份验证的 SAML 管理员不可用。

适用于 SAML 管理员的 SaaS 应用功能

如果您是使用 Workspace ONE Access 进行身份验证的 SAML 管理员，则无法使用 SaaS 应用程序以及其他 Workspace ONE Access 策略和功能。导航到“SaaS 应用”页面时，您将看到以下错误消息。

检查您的管理员帐户是否存在于 UEM 和 IDM 系统中，以及 Workspace ONE UEM 中的域是否与 VMware Identity Manager 中相同帐户的域完全匹配。

要还原 SaaS 应用的可访问性，您必须使用基本身份验证登录 Workspace ONE UEM，还必须在组织组启用 Workspace ONE Access。

基于令牌的身份验证

基于令牌的身份验证是用户注册其设备的最简便方法。使用此注册设置时，Workspace ONE UEM 将生成一个令牌，放置于注册 URL 内。

在使用单一令牌身份验证时，用户从设备上通过相关链接来完成注册，而 Workspace ONE UEM 服务器则会参照向用户提供的令牌。

为了进一步加强安全，可以为每个令牌设置一个失效时间（以小时计）。设置失效时间可以尽量避免出现其他用户访问设备中的任何信息和功能的情况。

您还可以酌情实施双重身份验证，让最终用户的身份验证更进一步。使用此身份验证设置时，用户必须在使用提供的令牌访问注册链接后，输入其用户名和密码。

优点

最终用户在注册和验证其设备时省时省力。
通过设置失效日期来确保令牌使用安全。
用户使用单一令牌进行身份验证时不需要凭证。

缺点

需要集成简单邮件传输协议 (SMTP) 或短消息服务 (SMS) 才能将令牌发送到设备。

此图显示管理员用户向注册用户提供单用途令牌。

管理员授权用户设备登记。
已生成一次性令牌并从 Workspace ONE UEM 发送给客户。
用户接收令牌，并导航至注册 URL。用户按照提示收到令牌，并选择性使用双因素身份验证。
设备注册流程。
Workspace ONE UEM 将令牌标记为已过期。

注意：SaaS 部署包括 SMTP。

针对注册启用安全类型

Workspace ONE UEM 与选定的用户安全类型集成之后，在注册之前，启用您允许使用的各种身份验证模式。

在身份验证标签页中导航到设备 > 设备设置 > 设备与用户 > 常规 > 注册。

为身份验证模式设置选中相应的复选框。

设置	说明
添加电子邮件域名	此按钮用于设置自动发现服务，以将电子邮件域注册到您的环境。
身份验证模式	选择允许的身份验证类型，其中包括： * 基本 - 基本用户帐户（您在 UEM console 中手动创建的帐户）可以注册。 * 目录 - 目录用户帐户（已使用目录服务集成导入或允许的帐户）可以注册。Workspace ONE 直接注册支持目录用户，而不管是否具有 SAML。 * 身份验证代理 - 允许用户使用身份验证代理用户帐户注册。用户向网络端点进行身份验证。依次输入身份验证代理 URL、身份验证代理 URL 备份和身份验证方法类型（在“HTTP 基本”和 Exchange ActiveSync 中选择其一）。
Intelligent Hub 身份验证源	选择 Intelligent Hub 用作用户和身份验证策略源的系统。 * Workspace ONE UEM - 如果您希望 Hub 服务使用 Workspace ONE UEM 作为用户和身份验证策略的源，请选择此设置。为 Hub 服务配置 Hub 配置页面后，输入 Hub 服务租户 URL。 * Workspace ONE Access - 如果您希望 Hub 服务使用 Workspace ONE Access 作为用户和身份验证策略的源，请选择此设置。为 Hub 服务配置 Hub 配置页面后，输入 Workspace ONE Access 租户 URL。注意：如果启用 Workspace ONE Access 作为 Intelligent Hub 的身份验证源，并使用命令行进行注册以用于注册预备目的，则会绕过此配置以使用命令行中提供的凭据。有关 Workspace ONE Intelligent Hub 的详细信息，请参阅 VMware Workspace ONE Hub 服务文档。有关 Workspace ONE Access 的详细信息，请参阅 VMware Workspace ONE Access 文档。
设备注册模式	选择首选设备注册模式，其中包括： * 开放注册 - 实质上允许满足其他注册条件（身份验证模式、限制等）的任何设备进行注册。Workspace ONE 直接注册支持开放注册。 * 仅限登记的设备注册 - 仅允许用户使用您或他们已登记的设备进行注册。设备登记是在注册设备之前将企业设备添加到 UEM Console 的过程。Workspace ONE 直接注册支持仅允许已登记的设备进行注册，但仅在不需要登记令牌时才支持。
需要登记令牌	选择仅限登记的设备注册时才显示。如果您将注册限制为仅限登记的设备，也可选择要求提供要用于注册的登记令牌。此选项通过确认特定用户有权进行注册来提高安全性。您可以向具有 Workspace ONE UEM 帐户的用户发送电子邮件或短信并附上注册令牌。
要求 iOS 设备使用 Intelligent Hub 注册	选中此复选框后，要求 iOS 设备用户先下载并安装 Workspace ONE Intelligent Hub，然后才能注册。停用此选项时，可以使用 Web 注册。
要求 macOS 设备使用 Intelligent Hub 注册	选中此复选框后，要求 macOS 设备用户先下载并安装 Workspace ONE Intelligent Hub，然后才能注册。停用此选项时，可以使用 Web 注册。

选择保存。

基本用户身份验证

您可以使用基本身份验证识别 Workspace ONE UEM 体系结构中的用户，但此方法不提供与现有企业用户帐户的集成功能。

优点

与任何部署方法兼容。
不需要技术集成。
不需要企业基础架构。

缺点

与自动发现不兼容。
仅能在 Workspace ONE UEM 中找到凭证，而且还不一定会与现有的企业凭证匹配。
不提供联合安全或单点登录。
Workspace ONE UEM 存储所有用户名和密码。
与 Workspace ONE 直接注册不兼容。

此图显示了通过 Internet 访问 UEM Console 的设备。管理控制台用户通过防火墙访问Workspace ONE UEM 。

Console 用户使用本地帐户登录到 Workspace ONE UEM SaaS 以进行身份验证（基本身份验证）。
- 在传输期间加密凭证。
- （例如，用户名：[email protected]，密码：Abcd）。
设备用户使用本地 Workspace ONE UEM 帐户（基本身份验证）凭证注册设备。
- 在传输期间加密凭证。
- （例如，用户名：jdoe2，密码：2557）。

Active Directory 与 LDAP 身份验证

利用 Active Directory (AD) 与轻型目录访问协议 (LDAP) 身份验证功能，Workspace ONE UEM 用户和管理员帐户能够与现有企业帐户集成。

优点

最终用户现在可以使用现有企业凭证进行身份验证。
与 LDAP/AD 集成的安全方法。
标准的集成做法。
与 Workspace ONE 直接注册兼容。

缺点

需要 AD 或其他 LDAP 服务器。

此图显示了通过 Internet 并通过防火墙访问 UEM Console 的设备。UEM Console 访问目录服务。

设备连接到 Workspace ONE UEM 来注册设备。用户输入其目录服务用户名和密码。
- 用户名和密码在传输期间加密。
- Workspace ONE UEM不会存储用户的目录服务密码。
Workspace ONE UEM 通过安全 LDAP 协议在 Internet 上查询目录服务，同时使用服务帐户进行身份验证。
对照企业目录服务验证用户的凭证。
如果用户凭据有效，则Workspace ONE UEM服务器会注册设备。