Brugergodkendelsestyper

Før tilmelding af enheder, skal hver enkelt enhedsbruger have en godkendt brugerkonto, som genkendes af Workspace ONE UEM. Den type brugergodkendelse, du vælger, afhænger af behovene i din organisation.

Godkendelsesproxy

Godkendelsesproxy leverer directory services integration på tværs af cloud eller over hærdede interne netværk. I denne model kommunikerer Workspace ONE UEM-serveren med en offentlig webserver eller en Exchange ActiveSync-server. Denne ordning godkender brugere i forhold til domæne-controlleren.

FORDELE

Tilbyder en sikker metode for proxy integration med AD/LDAP på tværs af clouden.
Slutbrugere godkendes med eksisterende virksomheds-legitimationsoplysninger.
Letvægtsmodel der påkræver minimal konfiguration.

ULEMPER

Kræver en offentlig webserver eller en Exchange ActiveSync Server, der er forbundet med en AD/LDAP-server.
kun brugbar for specifikke arkitektur-konfigurationer.
En langt mindre robust løsning end VMware Enterprise Systems Connector.
kan ikke bruges til direkte tilmelding til Workspace ONE.

Dette diagram viser en omvendt proxyserver som mellemstation mellem Directory Services og Workspace ONE SaaS-modellen.

Enheden opretter forbindelse til Workspace ONE UEM for at tilmelde enheden. Brugere indtaster deres brugernavn og adgangskode til Directory Services.
- Brugernavn og adgangskode krypteres under transport.
- Workspace ONE UEM opbevarer ikke brugerens adgangskode til Directory Service.
Workspace ONE UEM videresender brugernavnet og adgangskoden til et konfigureret godkendelsesproxy-slutpunkt, der kræver godkendelse (f.eks. basalgodkendelse).
Brugerens legitimationsoplysninger er valideret med virksomhedens Directory Services.
Hvis brugerens legitimationsoplysninger er gyldige, tilmelder Workspace ONE UEM-serveren enheden.

Active Directory med LDAP-godkendelse og VMware Enterprise Systems-konnektor

Active Directory med LDAP-godkendelse og VMware Enterprise Systems-konnektor har de samme funktioner som almindelig AD- og LDAP-godkendelse. Denne model fungerer på tværs af cloud for Software as a Service (SaaS) udrulninger.

FORDELE

Slutbrugere godkendes med eksisterende virksomheds-legitimationsoplysninger.
Kræver ikke ændring af firewall, da kommunikation initieres fra VMware Enterprise Systems Connector i dit netværk.
Overførelse af legitimationsoplysninger krypteres sikkert.
Tilbyder sikker konfiguration af anden infrastruktur såsom BES, Microsoft ADCS, SCEP og SMTP servere.
Kompatibel med Workspace ONE™ direkte tilmelding.

ULEMPER

Kræver, at VMware Enterprise Systems Connector installeres bag firewallen eller i en DMZ.
Kræver yderligere konfiguration.

SaaS-udrulningsmodel

Dette diagram viser VMware Cloud Connectors forbindelse til Workspace ONE i skyen gennem en firewall, mens den samtidig har adgang til interne netværksressourcer.

On-Premises-udrulningsmodel

Dette diagram viser en enhed, der har adgang til enhedstjenester i en DMZ, som bliver leveret gennem en firewall af interne netværksressourcer.

SAML 2.0 godkendelse

Security Assertion Markup Language (SAML) 2.0-godkendelse tilbyder single sign-on-support og organisationsnetværksgodkendelse. Workspace ONE UEM modtager aldrig virksomheds-legitimationsoplysninger.

Hvis en organisation har en SAML Identity Provider server, så anvend SAML 2.0 integration. Sørg for, at identitetsudbyderen returnerer attributten objectGUID som en del af SAML-svaret.

FORDELE

Tilbyder single sign-on egenskaber.
Godkendelse med eksisterende virksomheds-legitimationsoplysninger.
Workspace ONE UEM modtager aldrig virksomheds-legitimationsoplysninger i ren tekst.
Kompatibel med Workspace ONE direkte tilmelding, når det kombineres med en SAML Directory-bruger.
Kun administratorer kan anvende miljøer med flere domæner.

ULEMPER

Påkræver virksomheds SAML Identity Provider infrastruktur.
Inkompatibel med Workspace ONE direkte tilmelding, når det kombineres med en basal SAML-bruger.
Konfigurering af SAML med Workspace ONE Access som IDP med funktionen lokal basal bruger aktiveret understøtter ikke godkendelsen af basale brugere.
1. Enheden opretter forbindelse til Workspace ONE UEM for tilmelding. UEM-serveren omdirigerer enheden til den klient, der er specificeret af identitetsudbyderen.
2. Enheden opretter en sikker forbindelse til identitetsudbyderen fra klienten via HTTPS, og brugeren indtaster sine legitimationsoplysninger.
  - Legitimationsoplysningerne er krypteret under direkte transport mellem enheden og SAML-slutpunktet.
3. Legitimationsoplysninger valideres mod directory services.
4. Identitetsudbyderen returnerer et signeret SAML-respons med det godkendte brugernavn.
5. Enheden sender svar til Workspace ONE UEM-serveren og præsenterer den signerede SAML-meddelelse. Brugeren godkendes. Få flere oplysninger i Opret katalogtjenester manuelt, og rul ned til SAML-sektionen.
SaaS-apps er ikke tilgængelige for SAML-administratorer, der godkender ved hjælp af Workspace ONE Access.

SaaS-appers funktionalitet for SAML-administratorer

Hverken SaaS-apps og andre Workspace ONE Access-politikker og -funktioner er tilgængelige for dig, hvis du er SAML-administrator, der godkender ved hjælp af Workspace ONE Access. Du kan se følgende fejlmeddelelse, når du går til siden for SaaS-apps.

Kontrollér, at din administratorkonto findes i både UEM-og IDM-systemer, og at domænet i Workspace ONE UEM nøjagtigt matcher den samme kontos domæne i VMware Identity Manager.

For at genoprette SaaS-app-tilgængelighed skal du logge på Workspace ONE UEM ved hjælp af grundlæggende godkendelse, og du skal også aktivere Workspace ONE Access i din organisationsgruppe.

Token-baseret godkendelse

Token-baseret godkendelse er den letteste måde hvorpå bruger kan tilmelde deres enhed. Med denne indstilling for tilmelding genererer Workspace ONE UEM et token, som placeres i tilmeldings-URL'en.

Ved godkendelse med en enkelt token får brugeren adgang til linket fra enheden for at fuldføre en tilmelding, og Workspace ONE UEM-serveren henviser til den token, som brugeren har angivet.

Med henblik på større sikkerhed angives der en udløbstid (i timer) for hvert enkelt token. Angivelse af et udløb for hvert enkelt token minimerer potentialet for, at en anden bruger kan få adgang til information og features, der er tilgængelige på den pågældende enhed.

Du kan også vælge at implementere multifaktorgodkendelse og få endnu mere avanceret bekræftelse af slutbrugeres identitet. Med denne godkendelsesindstilling skal brugeren indtaste sit brugernavn og sin adgangskode, når tilmeldingslinket åbnes sammen med det angivne token.

FORDELE

Minimalt arbejde for slutbrugeren i forbindelse med tilmelding og godkendelse af deres enhed.
Sikker tokenbrug gennem angivelse af udløbstidspunkt.
Bruger behøver ikke legitimationsoplysninger når der godkendes med et enkelt token.

ULEMPER

Påkræver enten Simple Mail Transfer Protocol (SMTP) eller Short Message Service (SMS) integration for at kunne sende tokens til enhed.

Dette diagram viser adminbrugeren, der giver et engangstoken til en tilmeldingsbruger.

Administrator godkender registrering af brugers enhed.
Engangstoken genereres og sendes til bruger fra Workspace ONE UEM.
Brugeren modtager et token og navigerer til tilmeldings-URL-adressen. Brugeren anmodes om token og valgfri to-faktorgodkendelse.
Enheds-tilmeldingsprocessen.
Workspace ONE UEM markerer token som udløbet.

Bemærk: SaaS-udrulninger omfatter SMTP.

Aktiver sikkerhedstyper for tilmelding

Når Workspace ONE UEM er integreret med en valgt brugersikkerhedstype, og før tilmelding, skal du aktivere hver enkelt godkendelsestilstand, du tillader.

Naviger til Enheder > Enhedsindstillinger > Enheder & brugere > Generelt > Tilmelding, og vælg fanen Godkendelse.

Vælg de relevante afkrydsningsfelter for indstillingen Godkendelsestilstand.

Indstilling	Beskrivelse
Tilføj e-maildomæne	Denne knap bruges til opsætning af den automatiske registreringstjeneste, så du kan registrere e-maildomæner til dit miljø.
Godkendelsestilstand(e)	Vælg de tilladte godkendelsestyper, som inkluderer: * Basal – Basale brugerkonti (dem, du opretter manuelt i UEM-konsollen) kan tilmeldes. * Directory – Directory-brugerkonti (dem, du har importeret eller givet tilladelse til at bruge Directory Service-integration) kan tilmeldes. Direkte tilmelding til Workspace ONE understøtter Directory-brugere med eller uden SAML. * Godkendelsesproxy* – Giver brugere mulighed for at tilmelde sig ved hjælp af Godkendelsesproxy-brugerkonti. Brugere godkendes til et webslutpunkt. Indtast Godkendelsesproxy URL-adresse, Sikkerhedskopi af godkendelsesproxy URL-adressenog Godkendelsesmetode-type (vælg mellem HTTP Basic og Exchange ActiveSync).
Kilde til godkendelse af Intelligent Hub	Vælg det system, som Intelligent Hub-tjenesten benytter som kilde for brugere og godkendelsespolitikker. * Workspace ONE UEM – Vælg denne indstilling, hvis Hub Services skal bruge Workspace ONE UEM som kilde til brugere og godkendelsespolitikker. Når du konfigurerer sidenHub-konfigurationfor Hub Service, skal du indtaste tenant-URL-adressen til Hub Services. * Workspace ONE Access – Vælg denne indstilling, hvis Hub Services skal bruge Workspace ONE Access som kilde til brugere og godkendelsespolitikker. Når du konfigurerer siden Hub-konfiguration for Hub Service, skal du indtaste tenant-URL-adressen til Workspace ONE Access. Bemærk: Hvis du aktiverer Workspace ONE Access som kilde til godkendelse for Intelligent Hub, og du bruger en kommandolinje til at tilmelde dig med henblik på stagingformål, omgås denne konfiguration til fordel for de legitimationsoplysninger, der er angivet i kommandolinjen. Der er flere oplysninger om Workspace ONE Intelligent Hub under dokumentation til VMware Workspace ONE Hub-tjenester. Der er flere oplysninger om Workspace ONE Access under VMware Workspace ONE Access Dokumentation.
Tilmeldingstilstand for enheder	Vælg den foretrukne enhedstilmeldingstilstand, deriblandt: * Åben tilmelding – Giver alle, der opfylder de øvrige tilmeldingskriterier (godkendelsestilstand, begrænsninger osv.), mulighed for at tilmelde sig. Direkte tilmelding til Workspace ONE understøtter åben tilmelding. * Kun tilmeldte enheder – Giver kun tilladte brugere mulighed for at tilmelde sig ved hjælp af enheder, som du eller de har tilmeldt. Enhedsregistrering er en proces, hvor virksomhedsenheder tilføjes i UEM-konsollen, før de tilmeldes. Direkte tilmelding til Workspace ONE gør det kun muligt at tilmelde registrerede enheder, men kun hvis registreringstokens ikke er nødvendige.
Registrerings token er påkrævet	Kun synlig, når Kun registrerede enheder er valgt. Hvis du begrænser tilmelding til registrerede enheder, har du også mulighed for at kræve et registreringstoken ved tilmeldingen. Dette øger sikkerheden ved at bekræfte, at en bestemt bruger er godkendt for tilmelding. Du kan sende en e-mail eller SMS med et tilmeldingstoken vedhæftet til brugere med Workspace ONE UEM-konti.
Kræver Intelligent Hub-tilmelding for iOS	Markér dette felt for at kræve, at brugere med iOS-enheder skal downloade og installere Workspace ONE Intelligent Hub, før de kan tilmelde sig. Hvis det er deaktiveret, er Webtilmelding tilgængelig.
Kræver Intelligent Hub-tilmelding for macOS	Markér dette felt for at kræve, at brugere med macOS-enheder skal downloade og installere Workspace ONE Intelligent Hub, før de kan tilmelde sig. Hvis det er deaktiveret, er Webtilmelding tilgængelig.

Vælg Gem.

Basisgodkendelse af bruger

Du kan bruge basisgodkendelse til at identificere brugere i Workspace ONE UEM-arkitekturen, men denne metode giver ikke mulighed for integration med eksisterende virksomheds-brugerkonti.

FORDELE

Kompatibel med alle udrulningsmetoder.
Påkræver ingen teknisk integration.
Påkræver ingen enterprise infrastruktur.

ULEMPER

Inkompatibel med automatisk registrering.
Legitimationsoplysninger eksisterer kun i Workspace ONE UEM og matcher ikke nødvendigvis eksisterende virksomheds-legitimationsoplysninger.
Tilbyder ikke sikkerhedsorganisationsnetværk eller single sign-on.
Workspace ONE UEM gemmer alle brugernavne og adgangskoder.
Inkompatibel med Workspace ONE direkte tilmelding.

Dette diagram viser en enhed, der tilgår UEM-konsollen via internettet. Admin-konsollens bruger får adgang til Workspace ONE UEM gennem en firewall.

Konsolbrugere logger ind i Workspace ONE UEM SaaS ved hjælp af en lokal konto til godkendelse (basisgodkendelse).
- Legitimationsoplysninger krypteres under transport.
- (f.eks. brugernavn: [email protected], adgangskode: Abcd).
Enhedsbrugeren tilmelder en enhed ved hjælp af legitimationsoplysninger på en lokal Workspace ONE UEM-konto (basisgodkendelse).
- Legitimationsoplysninger krypteres under transport.
- (for eksempel, brugernavn: jhansen, adgangskode 2557).

Active Directory med LDAP-godkendelse

Godkendelse ved hjælp af Active Directory (AD) med Lightweight Directory Access Protocol (LDAP) bruges til at integrere bruger- og administratorkonti fra Workspace ONE UEM med eksisterende virksomhedskonti.

FORDELE

Slutbrugere kan nu godkendes med eksisterende virksomheds-legitimationsoplysninger.
Sikker metode for integration med LDAP / AD.
Standard integrationspraksis
Kompatibel med Workspace ONE direkte tilmelding.

ULEMPER

AD eller anden LDAP server er påkrævet.

Dette diagram viser en enhed, der tilgår UEM-konsollen via internettet igennem en firewall. UEM-konsollen har adgang til Directory Services.

Enheden opretter forbindelse til Workspace ONE UEM for at tilmelde enheden. Brugere indtaster deres brugernavn og adgangskode til Directory Services.
- Brugernavn og adgangskode krypteres under transport.
- Workspace ONE UEM opbevarer ikke brugerens adgangskode til Directory Service.
Workspace ONE UEM forespørger Directory Services via en sikker LDAP-protokol over internettet ved hjælp af en tjenestekonto til godkendelse.
Brugerens legitimationsoplysninger er valideret med virksomhedens Directory Service.
Hvis brugerens legitimationsoplysninger er gyldige, tilmelder Workspace ONE UEM-serveren enheden.