VMware Identity Services 是新推出的云服务,用于将 VMware 产品与第三方基于云的身份提供程序(如 Microsoft Entra ID 和 Okta)集成,以进行用户置备和身份联合。本文档介绍了用于 VMware Workspace ONE® 的 VMware Identity Services,该服务可跨 Workspace ONE 服务实现集中式用户管理。
VMware Identity Services 的主要功能包括:
- SCIM 2.0 用户置备
VMware Identity Services 基于跨域身份管理系统 (System for Cross-domain Identity Management, SCIM) 2.0 协议,该协议是一个用于在基于云的应用程序和服务中管理用户身份的标准。VMware Identity Services 支持任何基于 SCIM 2.0 的云身份提供程序。
- 使用 OpenID Connect 或 SAML 2.0 的身份联合
您可以使用 OpenID Connect 或 SAML 2.0 通过第三方身份提供程序配置联合身份验证。
- 跨 Workspace ONE 服务的集中式用户管理
借助 VMware Identity Services,您可以在 Workspace ONE Cloud 控制台中创建一个已置备的目录。用户和组将从身份提供程序置备到 VMware Identity Services,然后再自动从 VMware Identity Services 置备到您选择的 Workspace ONE 服务。VMware Identity Services 当前支持 VMware Workspace ONE® Access™ 和 VMware Workspace ONE® UEM。
您可以从 Workspace ONE Cloud 控制台管理该目录。Workspace ONE Access 和 Workspace ONE UEM 中的目录、用户、用户组、用户属性和身份提供程序设置均为只读。
- 无需连接器
无需在本地部署 VMware Workspace ONE Access Connector 或 VMware AirWatch Cloud Connector,即可将 VMware Identity Services 与云身份提供程序集成。
您可以从 Workspace ONE Cloud 控制台设置和管理 VMware Identity Services。不需要在 Workspace ONE Access 控制台和 Workspace ONE UEM Console 中进行任何配置。
支持的身份提供程序
VMware Identity Services 支持以下基于云的身份提供程序:
- Microsoft Entra ID(以前称为 Azure Active Directory 或 Azure AD)
- Okta
- 任何通用 SCIM 2.0 标识源
支持的 Workspace ONE 服务
您可以为以下 Workspace ONE 云服务配置 VMware Identity Services:
- Workspace ONE Access 云服务
- Workspace ONE UEM 2212 或更高版本
重要注意事项
- VMware Identity Services 仅适用于新 Workspace ONE 租户。
- VMware Identity Services 当前支持 Workspace ONE Access 和 Workspace ONE UEM。
- 要访问 VMware Identity Services,您的授权必须包含 Workspace ONE Cloud Admin Hub,它是一个基于 Web 的管理平台,可连接 Workspace ONE 服务以管理和提供数字工作区。
- VMware Identity Services 将目录管理集中到 Workspace ONE Cloud。启用 VMware Identity Services 后,只能从 Workspace ONE Cloud Admin Hub 管理目录。Workspace ONE UEM 和 Workspace ONE Access 中的目录服务和身份提供程序设置将变为只读。
- 只能将一个目录与 VMware Identity Services 集成。
- 您只能配置一个域。
- 您必须使用相同的身份提供程序设置置备和身份验证。不支持与多个身份提供程序集成。
- VMware Identity Services 不支持本地管理员、本地用户或即时用户。
目录中的所有用户都是从身份提供程序置备的用户,或是从 VMware Cloud Services 置备的 Workspace ONE 服务管理员。
- VMware Identity Services 不支持与 Active Directory 或其他 LDAP 目录直接集成。
- 您必须在 Workspace ONE Cloud 服务中具有管理员帐户才能设置 VMware Identity Services。
不支持的 Workspace ONE 功能
VMware Identity Services 不支持 Workspace ONE 服务中的以下功能。
Workspace ONE UEM
如果为租户启用了 VMware Identity Services,则不支持以下功能:
- 与内部部署Active Directory直接集成
- 基于用户名和密码的身份验证流
- 签入和签出流程(对于共享设备)
- DEP 流程
- 用户名/密码身份验证类型设置流程
- PPKG 注册流程
- 目录管理员用户
仅 VMware Cloud Services 管理员用户可用。
- 子 OG(如果为顶级 OG 配置了 VMware Identity Services)
- 即时 (Just-In-Time, JIT) 用户
只能从云身份提供程序添加用户。
- 与内部部署 Active Directory 身份验证相关的注册流程
不支持不含 Microsoft Entra ID 的内部部署 Active Directory。因此,不支持如下流程:
- 具有内部部署 Active Directory 的 Dropship Online(基本用户注册预备帐户)
- 具有内部部署 Active Directory 的静默注册(基本用户注册预备帐户)
- 具有内部部署 Active Directory 的代理注册(目录帐户)
Workspace ONE Access
如果为租户启用了 VMware Identity Services,则不支持以下功能:
- 与内部部署Active Directory直接集成
- 创建本地用户、本地管理员或即时 (JIT) 用户
所有用户都是通过 VMware Identity Services 从身份提供程序置备的用户,或是从 VMware Cloud Services 置备的管理员。
- People Search
- 与 Horizon Cloud 集成
- 与 Horizon Enterprise 集成
- 如果将 Workspace ONE Access 与 Office 365 集成,则无法对 Microsoft Entra ID 身份提供程序使用联合身份验证。仅特定于 Workspace ONE Access 的身份验证方法(例如 RSA SecurID、Hub MFA、移动 SSO 和证书身份验证)可用。当前不支持 Office 365 可用流身份验证。
Hub 服务
如果为租户启用了 VMware Identity Services,则不支持以下功能:
- “人员”选项卡配置
- “新员工入职”配置,包括入职相关模板
- “数字门禁”和“复工”体验
- 与具有 Universal Broker 的 Horizon Cloud Service on Microsoft Azure 集成
Workspace ONE Intelligent Hub
如果启用了 VMware Identity Services,则在 VMware Workspace ONE® Intelligent Hub 应用程序或 Web 浏览器门户中,用户将无法使用以下功能:
- “人员”选项卡
- “数字门禁”和“复工”体验
- 新员工入职
- 更改 Workspace ONE Access 用户(非 Okta 用户)的密码选项
- 具有 Universal Broker 的 Horizon Cloud Service on Microsoft Azure 中的应用程序和桌面
相关信息
有关使用 VMware Identity Services 的优势的视频概述,请观看 VMware 视频集中式用户管理简介。