Brugergodkendelsestyper

Før du tilmelder enheder, skal hver enkelt enhedsbruger have en godkendt brugerkonto, som genkendes af Workspace ONE UEM. Den type brugergodkendelse, du vælger, afhænger af behovene i din organisation.

Godkendelsesproxy

Godkendelsesproxy leverer directory services integration på tværs af cloud eller over hærdede interne netværk. I denne model kommunikerer Workspace ONE UEM-serveren med en offentlig webserver eller en Exchange ActiveSync-server. Denne ordning godkender brugere i forhold til domæne-controlleren.

FORDELE

Tilbyder en sikker metode for proxy integration med AD/LDAP på tværs af clouden.
Slutbrugere godkendes med eksisterende virksomheds-legitimationsoplysninger.
Letvægtsmodel der påkræver minimal konfiguration.

ULEMPER

Kræver en offentlig webserver eller en Exchange ActiveSync Server, der er forbundet med en AD/LDAP-server.
kun brugbar for specifikke arkitektur-konfigurationer.
En langt mindre robust løsning end VMware Enterprise Systems Connector.
kan ikke bruges til direkte tilmelding til Workspace ONE.

Dette diagram viser en omvendt proxyserver som mellemstation mellem Directory Services og Workspace ONE SaaS-modellen.

Enheden opretter forbindelse til Workspace ONE UEM for at tilmelde enheden. Brugere indtaster deres brugernavn og adgangskode til Directory Services.
- Brugernavn og adgangskode krypteres under transport.
- Workspace ONE UEM opbevarer ikke brugerens directory services-adgangskode.
Workspace ONE UEM videresender brugernavnet og adgangskoden til et konfigureret godkendelsesproxy-slutpunkt, der kræver godkendelse (f.eks. basisgodkendelse).
Brugerens legitimationsoplysninger er valideret med virksomhedens directory services.
Hvis brugerens legitimationsoplysninger er gyldige, tilmelder Workspace ONE UEM serveren enheden.

Active Directory med LDAP-godkendelse og VMware Enterprise Systems-konnektor

Active Directory med LDAP-godkendelse og VMware Enterprise Systems-konnektor har de samme funktioner som almindelig AD- og LDAP-godkendelse. Denne model fungerer på tværs af cloud for Software as a Service (SaaS) udrulninger.

FORDELE

Slutbrugere godkendes med eksisterende virksomheds-legitimationsoplysninger.
Kræver ikke ændring af firewall, da kommunikation initieres fra VMware Enterprise Systems Connector i dit netværk.
Overførelse af legitimationsoplysninger krypteres sikkert.
Tilbyder sikker konfiguration af anden infrastruktur såsom BES, Microsoft ADCS, SCEP og SMTP servere.
Kompatibel med Workspace ONE™ direkte tilmelding.

ULEMPER

Kræver, at VMware Enterprise Systems Connector installeres bag firewallen eller i en DMZ.
Kræver yderligere konfiguration.

SaaS-udrulningsmodel

Dette diagram viser VMware Cloud Connectors forbindelse til Workspace ONE i skyen gennem en firewall, mens den samtidig har adgang til interne netværksressourcer.

On-Premises-udrulningsmodel

Dette diagram viser en enhed, der har adgang til enhedstjenester i en DMZ, som bliver leveret gennem en firewall af interne netværksressourcer.

SAML 2.0 godkendelse

Security Assertion Markup Language (SAML) 2.0-godkendelse tilbyder single sign-on-support og organisationsnetværksgodkendelse. Workspace ONE UEM modtager aldrig virksomheds-legitimationsoplysninger.

Hvis en organisation har en SAML Identity Provider server, så anvend SAML 2.0 integration. Sørg for, at identitetsudbyderen returnerer attributten objectGUID som del af SAML-svaret.

FORDELE

Tilbyder single sign-on egenskaber.
Godkendelse med eksisterende virksomheds-legitimationsoplysninger.
Workspace ONE UEM modtager aldrig legitimationsoplysninger i almindelig tekstformat.
Kompatibel med Workspace ONE direkte tilmelding, når det kombineres med en SAML Directory-bruger.
Kun administratorer kan anvende miljøer med flere domæner.

ULEMPER

Påkræver virksomheds SAML Identity Provider infrastruktur.
Inkompatibel med Workspace ONE direkte tilmelding, når det kombineres med en basal SAML-bruger.
Konfiguration af SAML med Workspace ONE Access som IDP med lokal basisbrugerfunktion aktiveret understøtter ikke godkendelse af basale brugere.
1. Enheden opretter forbindelse til Workspace ONE UEM med henblik på tilmelding. UEM-serveren omdirigerer enheden til den klient, der er specificeret af identitetsudbyderen.
2. Enheden opretter en sikker forbindelse til identitetsudbyderen fra klienten via HTTPS, og brugeren indtaster sine legitimationsoplysninger.
  - Legitimationsoplysningerne er krypteret under direkte transport mellem enheden og SAML-slutpunktet.
3. Legitimationsoplysninger valideres mod directory services.
4. Identitetsudbyderen returnerer et signeret SAML-respons med det godkendte brugernavn.
5. Enheden sender svar tilbage til Workspace ONE UEM-serveren og viser den signerede SAML-meddelelse. Brugeren godkendes.
Få flere oplysninger i Opret katalogtjenester manuelt, og rul ned til SAML-sektionen.
SaaS-apps er ikke tilgængelige for SAML-administratorer, der godkendes vha. Workspace ONE Access.

SaaS-appers funktionalitet for SAML-administratorer

SaaS-apps, såvel som andre Workspace ONE Access-politikker og -funktioner, er ikke tilgængelige for dig, hvis du er en SAML-administrator, der godkender ved hjælp af Workspace ONE Access. Du kan se følgende fejlmeddelelse, når du går til siden for SaaS-apps.

Kontrollér, at din administratorkonto findes i både UEM-og IDM systemer, og at domænet i Workspace ONE UEM nøjagtigt matcher den samme kontos domæne i VMware Identity Manager.

For at genoprette SaaS-app-tilgængelighed skal du logge på Workspace ONE UEM ved hjælp af grundlæggende godkendelse, og du skal også aktivere Workspace ONE Access i din organisationsgruppe.

Token-baseret godkendelse

Token-baseret godkendelse er den letteste måde hvorpå bruger kan tilmelde deres enhed. Med denne tilmeldingsindstilling genererer Workspace ONE UEM en token, der placeres i URL-adressen for tilmelding.

For godkendelse med et enkelt token kan brugere åbne linket fra enheden for at fuldføre tilmeldingen, hvorefter Workspace ONE UEM-serveren vil referere til det token, der er givet til brugeren.

Med henblik på større sikkerhed angives der en udløbstid (i timer) for hvert enkelt token. Angivelse af et udløb for hvert enkelt token minimerer potentialet for, at en anden bruger kan få adgang til information og features, der er tilgængelige på den pågældende enhed.

Du kan også vælge at implementere multifaktorgodkendelse og få endnu mere avanceret bekræftelse af slutbrugeres identitet. Med denne godkendelsesindstilling skal brugeren indtaste sit brugernavn og sin adgangskode, når tilmeldingslinket åbnes sammen med det angivne token.

FORDELE

Minimalt arbejde for slutbrugeren i forbindelse med tilmelding og godkendelse af deres enhed.
Sikker tokenbrug gennem angivelse af udløbstidspunkt.
Bruger behøver ikke legitimationsoplysninger når der godkendes med et enkelt token.

ULEMPER

Påkræver enten Simple Mail Transfer Protocol (SMTP) eller Short Message Service (SMS) integration for at kunne sende tokens til enhed.

Dette diagram viser administratorbrugeren, der giver et engangstoken til en tilmeldingsbruger.

Administrator godkender registrering af brugers enhed.
Engangstoken genereres og sendes til brugeren fra Workspace ONE UEM.
Brugeren modtager et token og navigerer til tilmeldings-URL-adressen. Brugeren anmodes om token og valgfri to-faktorgodkendelse.
Enheds-tilmeldingsprocessen.
Workspace ONE UEM markerer token som udløbet.

Bemærk: SaaS-udrulninger omfatter SMTP.

Aktiver sikkerhedstyper for tilmelding

Når først Workspace ONE UEM er integreret med en valgt brugersikkerhedstype, skal du inden tilmeldingen aktivere hver af de godkendelsestilstande, som du vil tillade.

Gå til Enheder > Enhedsindstillinger > Enheder og brugere > Generelt > Tilmelding under fanen Godkendelse.

Vælg de relevante afkrydsningsfelter for indstillingen Godkendelsestilstand.


Indstilling	Beskrivelse
Tilføj e-maildomæne	Denne knap bruges til opsætning af den automatiske registreringstjeneste, så du kan registrere e-maildomæner til dit miljø.
Godkendelsestilstand(e)	Vælg de tilladte godkendelsestyper, som inkluderer: Basal – Basale brugerkonti (dem, du opretter manuelt i UEM-konsollen) kan tilmeldes. Directory – Directory-brugerkonti (dem, du har importeret eller givet tilladelse til at bruge Directory Service-integration) kan tilmeldes. Direkte tilmelding til Workspace ONE understøtter Directory-brugere med eller uden SAML. Godkendelsesproxy – Giver brugere mulighed for at tilmelde sig ved hjælp af Godkendelsesproxy-brugerkonti. Brugere godkendes til et webslutpunkt. Indtast Godkendelsesproxy URL-adresse, Sikkerhedskopi af godkendelsesproxy URL-adressenog Godkendelsesmetode-type (vælg mellem HTTP Basic og Exchange ActiveSync).
Kilde til godkendelse af Intelligent Hub	Vælg det system, som Intelligent Hub-tjenesten benytter som kilde for brugere og godkendelsespolitikker. Workspace ONE UEM – Vælg denne indstilling, hvis Hub Services skal bruge Workspace ONE UEM som kilde til brugere og godkendelsespolitikker. Når du konfigurerer sidenHub-konfigurationfor Hub Service, skal du indtaste tenant-URL-adressen til Hub Services. Workspace ONE Access – Vælg denne indstilling, hvis Hub Services skal bruge Workspace ONE Access som kilde til brugere og godkendelsespolitikker. Når du konfigurerer siden Hub-konfiguration for Hub Service, skal du indtaste tenant-URL-adressen til Workspace ONE Access. Bemærk: Hvis du aktiverer Workspace ONE Access som kilde til godkendelse for Intelligent Hub, og du bruger en kommandolinje til at tilmelde dig med henblik på stagingformål, omgås denne konfiguration til fordel for de legitimationsoplysninger, der er angivet i kommandolinjen. Der er flere oplysninger om Workspace ONE Intelligent Hub i dokumentationen til VMware Workspace ONE hub-tjenester. Der er flere oplysninger om Workspace ONE Access i dokumentationen til VMware Workspace ONE Access.
Tilmeldingstilstand for enheder	Vælg den foretrukne enhedstilmeldingstilstand, deriblandt: Åben tilmelding – Giver alle, der opfylder de øvrige tilmeldingskriterier (godkendelsestilstand, begrænsninger osv.), mulighed for at tilmelde sig. Direkte tilmelding til Workspace ONE understøtter åben tilmelding. Kun tilmeldte enheder – Giver kun tilladte brugere mulighed for at tilmelde sig ved hjælp af enheder, som du eller de har tilmeldt. Enhedsregistrering er en proces, hvor virksomhedsenheder tilføjes i UEM-konsollen, før de tilmeldes. Direkte tilmelding til Workspace ONE gør det kun muligt at tilmelde registrerede enheder, men kun hvis registreringstokens ikke er nødvendige.
Registreringstoken er påkrævet	Kun synlig, når Kun registrerede enheder er valgt. Hvis du begrænser tilmelding til registrerede enheder, har du også mulighed for at kræve et registreringstoken ved tilmeldingen. Dette øger sikkerheden ved at bekræfte, at en bestemt bruger er godkendt for tilmelding. Du kan sende en e-mail eller SMS med vedhæftet tilmeldingstoken til brugere med Workspace ONE UEM-konti.
Kræver Intelligent Hub-tilmelding for iOS	Markér dette felt for at kræve, at brugere med iOS-enheder skal downloade og installereWorkspace ONE Intelligent Hub, før de kan tilmelde sig. Hvis det er deaktiveret, er Webtilmelding tilgængelig.
Kræv Intelligent Hub-tilmelding for macOS	Markér dette felt for at kræve, at brugere med macOS-enheder skal downloade og installereWorkspace ONE Intelligent Hub, før de kan tilmelde sig. Hvis det er deaktiveret, er Webtilmelding tilgængelig.

Vælg Gem.

Basisgodkendelse af bruger

Du kan anvende basisgodkendelse til at identificere brugere i Workspace ONE UEM-arkitekturen, men denne metode gør det ikke muligt at integrere med eksisterende virksomhedsbrugerkonti.

FORDELE

Kompatibel med alle udrulningsmetoder.
Påkræver ingen teknisk integration.
Påkræver ingen enterprise infrastruktur.

ULEMPER

Inkompatibel med automatisk registrering.
Legitimationsoplysninger eksisterer kun i Workspace ONE UEM og matcher ikke nødvendigvis eksisterende virksomhedslegitimationsoplysninger.
Tilbyder ikke sikkerhedsorganisationsnetværk eller single sign-on.
Workspace ONE UEM opbevarer alle brugernavne og adgangskoder.
Inkompatibel med Workspace ONE direkte tilmelding.

Konsolbrugeren logger på Workspace ONE UEM SaaS ved hjælp af en lokal konto til godkendelse (basisgodkendelse).
- Legitimationsoplysninger krypteres under transport.
- (for eksempel brugernavn: [email protected], adgangskode: Abcd).
Enhedsbrugeren tilmelder en enhed ved hjælp af legitimationsoplysninger til en lokal Workspace ONE UEM-konto (basisgodkendelse).
- Legitimationsoplysninger krypteres under transport.
- (for eksempel, brugernavn: jhansen, adgangskode 2557).

Active Directory med LDAP-godkendelse

Godkendelse ved hjælp af Active Directory (AD) med Lightweight Directory Access Protocol (LDAP) bruges til at integrere bruger- og administratorkonti til Workspace ONE UEM med eksisterende virksomhedskonti.

FORDELE

Slutbrugere kan nu godkendes med eksisterende virksomheds-legitimationsoplysninger.
Sikker metode for integration med LDAP / AD.
Standard integrationspraksis
Kompatibel med Workspace ONE direkte tilmelding.

ULEMPER

AD eller anden LDAP server er påkrævet.

Dette diagram viser en enhed, der åbner UEM-konsollen via internettet igennem en firewall. UEM-konsollen har adgang til Directory Services.

Enheden opretter forbindelse til Workspace ONE UEM for at tilmelde enheden. Brugere indtaster deres brugernavn og adgangskode til Directory Services.
- Brugernavn og adgangskode krypteres under transport.
- Workspace ONE UEM opbevarer ikke brugerens directory services-adgangskode.
Workspace ONE UEM forespørger klientens directory services via en sikker LDAP-protokol over internettet med en servicekonto for godkendelse.
Brugerens legitimationsoplysninger er valideret med virksomhedens directory service.
Hvis brugerens legitimationsoplysninger er gyldige, tilmelder Workspace ONE UEM serveren enheden.