Før enheder kan tilmeldes, skal hver enkelt enhedsbruger have en godkendt brugerkonto, som genkendes af Workspace ONE UEM. Den type brugergodkendelse, du vælger, afhænger af behovene i din organisation.

Godkendelsesproxy

Godkendelsesproxy leverer directory services integration på tværs af cloud eller over hærdede interne netværk. I denne model kommunikerer Workspace ONE UEM-serveren med en offentlig webserver eller en Exchange ActiveSync-server. Denne ordning godkender brugere i forhold til domæne-controlleren.

FORDELE

  • Tilbyder en sikker metode for proxy integration med AD/LDAP på tværs af cloud.
  • Slutbrugere kan godkendes med eksisterende virksomhedslegitimationsoplysninger.
  • Letvægtsmodel der påkræver minimal konfiguration.

ULEMPER

  • Kræver en offentlig webserver eller en Exchange ActiveSync Server, der er forbundet med en AD/LDAP-server.
  • Kun brugbar for specifikke arkitektur-konfigurationer.
  • En langt mindre robust løsning end VMware Enterprise Systems Connector.
  • Kan ikke bruges til direkte tilmelding til Workspace ONE.

Dette diagram viser en omvendt proxyserver som mellemstation mellem Directory Services og Workspace ONE SaaS-modellen.

  1. Enheden opretter forbindelse til Workspace ONE UEM for at tilmelde enheden. Brugere indtaster deres brugernavn og adgangskode til Directory Services.
    • Brugernavn og adgangskode krypteres under transport.
    • Workspace ONE UEM opbevarer ikke brugerens directory services-adgangskode.
  2. Workspace ONE UEM videresender brugernavnet og adgangskoden til et konfigureret godkendelsesproxy-slutpunkt, der kræver godkendelse (f.eks. basisgodkendelse).
  3. Brugerens legitimationsoplysninger er valideret med virksomhedens directory services.
  4. Hvis brugerens legitimationsoplysninger er gyldige, lader Workspace ONE UEM-serveren enheden fuldføre en enhedstilmelding.

Active Directory med LDAP-godkendelse og VMware Enterprise Systems-konnektor

Active Directory med LDAP-godkendelse og VMware Enterprise Systems-konnektor har de samme funktioner som almindelig AD- og LDAP-godkendelse. Denne model fungerer på tværs af cloud for Software as a Service (SaaS) udrulninger.

FORDELE

  • Slutbrugere godkendes med eksisterende virksomheds-legitimationsoplysninger.
  • Kræver ikke ændring af firewall, da kommunikation initieres fra VMware Enterprise Systems Connector i dit netværk.
  • Overførelse af legitimationsoplysninger er krypteret og sikkert.
  • Tilbyder sikker konfiguration af anden infrastruktur såsom BES, Microsoft ADCS, SCEP og SMTP servere.
  • Kan bruges til direkte tilmelding til Workspace ONE ™.

ULEMPER

  • Kræver, at VMware Enterprise Systems Connector installeres bag firewallen eller i en DMZ.
  • Kræver yderligere konfiguration.

SaaS-udrulningsmodel

Dette diagram viser VMware Cloud Connectors forbindelse til Workspace ONE i skyen gennem en firewall, mens den samtidig har adgang til interne netværksressourcer.

On-Premises-udrulningsmodel

Dette diagram viser en enhed, der har adgang til enhedstjenester i en DMZ, som bliver leveret gennem en firewall af interne netværksressourcer.

SAML 2.0 godkendelse

Security Assertion Markup Language (SAML) 2.0-godkendelse tilbyder single sign-on-support og organisationsnetværksgodkendelse. Workspace ONE UEM modtager aldrig virksomheds-legitimationsoplysninger.

Hvis en organisation har en SAML Identity Provider server, så anvend SAML 2.0 integration. Sørg for, at identitetsudbyderen returnerer attributten objectGUID som del af SAML-svaret.

FORDELE

  • Tilbyder single sign-on egenskaber.
  • Godkendelse med eksisterende virksomheds-legitimationsoplysninger.
  • Workspace ONE UEM modtager aldrig legitimationsoplysninger i almindeligt tekstformat.
  • Kan bruges ved direkte tilmelding til Workspace ONE, når det kombineres med en SAML Directory-bruger.
  • Flerdomænemiljøer understøttes kun for administratorer.

ULEMPER

  • Påkræver virksomheds SAML Identity Provider infrastruktur.
  • Kan bruges til direkte tilmelding til Workspace ONE, når det kombineres med en grundlæggende SAML-bruger.
  • Konfiguration af SAML med Workspace ONE Access som IDP med lokal basisbrugerfunktion aktiveret understøtter ikke godkendelse af basale brugere.

    Dette diagram viser Workspace ONE SaaS-serveren modtage input fra en enhed via internettet og få adgang til SAML-identitetsudbyderen via en firewall.

    1. Enheden opretter forbindelse til Workspace ONE UEM med henblik på tilmelding. UEM-serveren omdirigerer enheden til den klient, der er specificeret af identitetsudbyderen.
    2. Enheden opretter en sikker forbindelse til identitetsudbyderen fra klienten via HTTPS, og brugeren indtaster sine legitimationsoplysninger.
      • Legitimationsoplysningerne er krypteret under direkte transport mellem enheden og SAML-slutpunktet.
    3. Legitimationsoplysninger valideres mod directory services.
    4. Identitetsudbyderen returnerer et signeret SAML-respons med det godkendte brugernavn.
    5. Enheden sender svar tilbage til Workspace ONE UEM-serveren og viser den signerede SAML-meddelelse. Brugeren er godkendt.

    Få flere oplysninger i Opret katalogtjenester manuelt, og rul ned til SAML-sektionen.

  • SaaS-apps er ikke tilgængelige for SAML-administratorer, der godkendes vha. Workspace ONE Access.

SaaS-appers funktionalitet for SAML-administratorer

SaaS-apps, såvel som andre Workspace ONE Access-politikker og -funktioner, er ikke tilgængelige for dig, hvis du er en SAML-administrator, der godkender ved hjælp af Workspace ONE Access. Du kan se følgende fejlmeddelelse, når du går til siden for SaaS-apps.

Kontrollér, at din administratorkonto findes i både UEM-og IDM systemer, og at domænet i Workspace ONE UEM nøjagtigt matcher den samme kontos domæne i VMware Identity Manager.

For at genoprette SaaS-app-tilgængelighed skal du logge på Workspace ONE UEM ved hjælp af grundlæggende godkendelse, og du skal også aktivere Workspace ONE Access i din organisationsgruppe.

Token-baseret godkendelse

Token-baseret godkendelse er den letteste måde hvorpå bruger kan tilmelde deres enhed. Med denne tilmeldingsindstilling genererer Workspace ONE UEM et token, der placeres i URL-adressen for tilmelding.

For godkendelse med et enkelt token kan brugere åbne linket fra enheden for at fuldføre tilmeldingen, hvorefter Workspace ONE UEM-serveren vil referere til det token, der er givet til brugeren.

Med henblik på større sikkerhed angives der en udløbstid (i timer) for hvert enkelt token. Angivelse af et udløb for hvert enkelt token minimerer potentialet for, at en anden bruger kan få adgang til information og features, der er tilgængelige på den pågældende enhed.

Du kan også vælge at implementere multifaktorgodkendelse og få endnu mere avanceret bekræftelse af slutbrugeres identitet. Med denne godkendelsesindstilling skal brugeren indtaste sit brugernavn og sin adgangskode, når tilmeldingslinket åbnes sammen med det angivne token.

FORDELE

  • Minimalt arbejde for slutbrugeren i forbindelse med tilmelding og godkendelse af deres enhed.
  • Sikker tokenbrug gennem angivelse af udløbstidspunkt.
  • Bruger behøver ikke legitimationsoplysninger når der godkendes med et enkelt token.

ULEMPER

  • Påkræver enten Simple Mail Transfer Protocol (SMTP) eller Short Message Service (SMS) integration for at kunne sende tokens til enhed.

Dette diagram viser administratorbrugeren, der giver et engangstoken til en tilmeldingsbruger.

  1. Administrator godkender registrering af brugers enhed.
  2. Engangstoken genereres og sendes til brugeren fra Workspace ONE UEM.
  3. Brugeren modtager et token og navigerer til tilmeldings-URL-adressen. Brugeren anmodes om token og valgfri tofaktorgodkendelse.
  4. Enheds-tilmeldingsprocessen.
  5. Workspace ONE UEM markerer token som udløbet.
Bemærk: SMTP er inkluderet med SaaS-udrulninger.

Aktiver sikkerhedstyper for tilmelding

Når først Workspace ONE UEM er integreret med en valgt brugersikkerhedstype, skal du inden tilmeldingen aktivere hver af de godkendelsestilstande, som du vil tillade.

  1. Gå til Enheder > Enhedsindstillinger > Enheder og brugere > Generelt > Tilmelding under fanen Godkendelse.
  2. Vælg de relevante afkrydsningsfelter for indstillingen Godkendelsestilstand.
    Indstilling Beskrivelse
    Tilføj e-maildomæne Denne knap bruges til opsætning af den automatiske registreringstjeneste, så du kan registrere e-maildomæner til dit miljø.
    Godkendelsestilstand(e)

    Vælg de tilladte godkendelsestyper, som inkluderer:

    • Basal – Basale brugerkonti (dem, du opretter manuelt i UEM-konsollen) kan tilmeldes.
    • Directory – Directory-brugerkonti (dem, du har importeret eller givet tilladelse til at bruge Directory Service-integration) kan tilmeldes. Direkte tilmelding til Workspace ONE understøtter Directory-brugere med eller uden SAML.
    • Godkendelsesproxy – Giver brugere mulighed for at tilmelde sig ved hjælp af Godkendelsesproxy-brugerkonti. Brugere godkendes til et webslutpunkt.
      • Indtast Godkendelsesproxy URL-adresse, Sikkerhedskopi af godkendelsesproxy URL-adressenog Godkendelsesmetode-type (vælg mellem HTTP Basic og Exchange ActiveSync).
    Kilde til godkendelse af Intelligent Hub

    Vælg det system, som Intelligent Hub-tjenesten benytter som kilde for brugere og godkendelsespolitikker.

    • Workspace ONE UEM – Vælg denne indstilling, hvis Hub Services skal bruge Workspace ONE UEM som kilde til brugere og godkendelsespolitikker.

      Når du konfigurerer sidenHub-konfigurationfor Hub Service, skal du indtaste tenant-URL-adressen til Hub Services.

    • Workspace ONE Access – Vælg denne indstilling, hvis Hub Services skal bruge Workspace ONE Access som kilde til brugere og godkendelsespolitikker.

      Når du konfigurerer siden Hub-konfiguration for Hub Service, skal du indtaste tenant-URL-adressen til Workspace ONE Access.

    Der er flere oplysninger om Workspace ONE Intelligent Hub i dokumentationen til VMware Workspace ONE hub-tjenester.

    Der er flere oplysninger om Workspace ONE Access i dokumentationen til VMware Workspace ONE Access.
    Tilmeldingstilstand for enheder

    Vælg den foretrukne enhedstilmeldingstilstand, deriblandt:

    • Åben tilmelding – Giver alle, der opfylder de øvrige tilmeldingskriterier (godkendelsestilstand, begrænsninger osv.), mulighed for at tilmelde sig. Direkte tilmelding til Workspace ONE understøtter åben tilmelding.
    • Kun tilmeldte enheder – Giver kun tilladte brugere mulighed for at tilmelde sig ved hjælp af enheder, som du eller de har tilmeldt. Enhedsregistrering er en proces, hvor virksomhedsenheder tilføjes i UEM-konsollen, før de tilmeldes. Direkte tilmelding til Workspace ONE gør det kun muligt at tilmelde registrerede enheder, men kun hvis registreringstokens ikke er nødvendige.
    Registreringstoken er påkrævet

    Kun synlig, når Kun registrerede enheder er valgt.

    Hvis du begrænser tilmelding til registrerede enheder, har du også mulighed for at kræve et registreringstoken ved tilmeldingen. Dette øger sikkerheden ved at bekræfte, at en bestemt bruger er godkendt for tilmelding. Du kan sende en e-mail eller SMS med vedhæftet tilmeldingstoken til brugere med Workspace ONE UEM-konti.
    Kræver Intelligent Hub-tilmelding for iOS Markér dette felt for at kræve, at brugere med iOS-enheder skal downloade og installereWorkspace ONE Intelligent Hub, før de kan tilmelde sig. Hvis deaktiveret, er Webtilmelding tilgængelig.
    Kræv Intelligent Hub-tilmelding for macOS Markér dette felt for at kræve, at brugere med macOS-enheder skal downloade og installereWorkspace ONE Intelligent Hub, før de kan tilmelde sig. Hvis deaktiveret, er Webtilmelding tilgængelig.
  3. Vælg Gem.

Basisgodkendelse af bruger

Du kan anvende basisgodkendelse til at identificere brugere i Workspace ONE UEM-arkitekturen, men denne metode gør det ikke muligt at integrere med eksisterende virksomhedsbrugerkonti.

FORDELE

  • Kan anvendes med alle udrulningsmetoder.
  • Påkræver ingen teknisk integration.
  • Påkræver ingen enterprise infrastruktur.

ULEMPER

  • Kan ikke bruges sammen med Auto-registrering.
  • Legitimationsoplysninger eksisterer kun i Workspace ONE UEM og matcher ikke nødvendigvis eksisterende virksomhedslegitimationsoplysninger.
  • Tilbyder ikke sikkerhedsorganisationsnetværk eller single sign-on.
  • Workspace ONE UEM opbevarer alle brugernavne og adgangskoder.
  • Kan ikke bruges til direkte tilmelding til Workspace ONE.

  1. Konsolbrugeren logger på Workspace ONE UEM SaaS ved hjælp af en lokal konto til godkendelse (basisgodkendelse).
    • Legitimationsoplysninger krypteres under transport.
    • (for eksempel brugernavn: jhansen@air-watch.com, adgangskode: Abcd).
  2. Enhedsbrugeren tilmelder en enhed ved hjælp af legitimationsoplysninger til en lokal Workspace ONE UEM-konto (basisgodkendelse).
    • Legitimationsoplysninger krypteres under transport.
    • (for eksempel, brugernavn: jhansen, adgangskode 2557).

Active Directory med LDAP-godkendelse

Godkendelse ved hjælp af Active Directory (AD) med Lightweight Directory Access Protocol (LDAP) bruges til at integrere bruger- og administratorkonti til Workspace ONE UEM med eksisterende virksomhedskonti.

FORDELE

  • Slutbrugere kan nu godkendes med eksisterende virksomheds-legitimationsoplysninger.
  • Sikker metode for integration med LDAP / AD.
  • Standard integrationspraksis
  • Kan bruges til direkte tilmelding til Workspace ONE.

ULEMPER

  • Påkræver en AD eller anden LDAP server.

Dette diagram viser en enhed, der åbner UEM-konsollen via internettet igennem en firewall. UEM-konsollen har adgang til Directory Services.

  1. Enheden opretter forbindelse til Workspace ONE UEM for at tilmelde enheden. Brugere indtaster deres brugernavn og adgangskode til Directory Services.
    • Brugernavn og adgangskode krypteres under transport.
    • Workspace ONE UEM opbevarer ikke brugerens directory services-adgangskode.
  2. Workspace ONE UEM forespørger klientens directory services via en sikker LDAP-protokol over internettet med en servicekonto for godkendelse.
  3. Brugerens legitimationsoplysninger er valideret med virksomhedens directory services.
  4. Hvis brugerens legitimationsoplysninger er gyldige, lader Workspace ONE UEM-serveren enheden fuldføre en enhedstilmelding.