Als Unternehmensadministrator greifen Sie auf den Workflow „Self-Service-Verbund“ über die Verbundorganisation zu, die beim Start für Ihr Unternehmen erstellt wurde. Sie erhalten den Zugriffslink für die Verbundorganisation in der Einladungs-E-Mail, die vom Organisationsbesitzer, der den Verbund initiiert hat, oder von einem anderen Benutzer vom Typ Unternehmensadministrator gesendet wird, der Sie eingeladen hat.

Voraussetzungen

Der Workflow „Self-Service-Verbund“ beinhaltet mehrere Schritte, die von verschiedenen Unternehmensadministratoren während eines bestimmten Zeitraums durchgeführt werden können. Stellen Sie vor dem Start sicher, dass Sie die Voraussetzungen und Anforderungen für die Einrichtung eines Unternehmensverbunds gelesen und verstanden haben.
Achtung: Ihr Unternehmen muss die Domänen besitzen, aus denen Sie für den Zugriff auf VMware Cloud services einen Verbund bilden möchten, und Sie müssen im ersten Schritt des Self-Service-Workflows die Besitzerrechte überprüfen. Domänen, die einem Dienstanbieter gehören, können nicht in den Verbund aufgenommen werden.
  • Zum Einrichten eines Verbunds über den Self-Service-Workflow benötigen Sie Unternehmensadministratorzugriff.
  • Damit alle Schritte des Workflows korrekt im Browser angezeigt werden, müssen Sie Cookies von Drittanbietern aktivieren.
    Hinweis: Wenn Sie den Workflow „Verbundeinrichtung“ verwenden, stellen Sie sicher, dass Sie den Inkognitomodus des Browsers nicht verwenden.
  • Stellen Sie sicher, dass Sie zur Domänenüberprüfung auf die DNS-Datensätze der Verbunddomänen zugreifen und diese ändern können.
    Achtung: Ihr Unternehmen muss die Domänen besitzen, aus denen Sie für den Zugriff auf VMware Cloud services einen Verbund bilden möchten, und Sie müssen im ersten Schritt des Self-Service-Workflows die Besitzerrechte überprüfen. Domänen, die einem Dienstanbieter gehören, können nicht in den Verbund aufgenommen werden.
  • Die Voraussetzungen, die auf der ausgewählten Self-Service-Verbundeinrichtung basieren, lauten wie folgt:
    Für die Einrichtung der dynamischen Authentifizierung (ohne Konnektor) ist Folgendes erforderlich:
    • Stellen Sie sicher, dass Sie auf Ihre Identitätsanbieterkonsole zugreifen können.
    • Stellen Sie für eine SAML-basierte Verbundeinrichtung sicher, dass Sie Zugriff auf die IdP-Metadaten-URL haben.
    Für die konnektorbasierte Authentifizierungseinrichtung ist Folgendes erforderlich:
    • Stellen Sie sicher, dass Sie zur Domänenüberprüfung auf die DNS-Datensätze der Verbunddomänen zugreifen und diese ändern können.
    • Stellen Sie sicher, dass Ihre Hostmaschine mit MS Windows Server 2012 R2 oder höher installiert ist und Sie auf Ihr Unternehmensverzeichnis zugreifen können.
    • Die Windows-Hostmaschine muss über eine statische IP-Adresse und einen über DNS auflösbaren FQDN verfügen.
    • Der Connector muss über Netzwerkzugriff auf Active Directory auf den Ports 389/636 verfügen.
    • Stellen Sie sicher, dass Ihre Unternehmensfirewall so konfiguriert ist, dass eine ausgehende Verbindung vom Workspace ONE Access Connector zu Port 443 für die Interaktion mit dem gehosteten Mandantendienst hergestellt wird.
    • Wenn Sie Domänen zur Positivliste hinzufügen möchten, müssen Sie die Domänen *.workspaceoneaccess.com (Workspace ONE Access Production Tenant URL) zu Ihrer Liste der zulässigen Domänen hinzufügen.

      Die Windows-Servermaschine oder die virtuelle Maschine des Hosts kann lokal, auf VMware Cloud on AWS oder als Elastic Compute Cloud-Instanz bereitgestellt werden. Der Host, auf dem Workspace ONE Access Connector installiert ist, muss über LDAP/LDAPS auf Ihr Unternehmensverzeichnis zugreifen können.

      Weitere Informationen zum Installieren des Workspace ONE Access Connectors finden Sie in den allgemeinen Workspace ONE Access Connector 20.01-Systemanforderungen

    • Stellen Sie sicher, dass Sie über ein Benutzer- oder Dienstkonto mit Leseberechtigungen für Active Directory und ein nicht ablaufendes Kennwort für den AD-Bind-Benutzer-DN/Namen zur Synchronisierung von Gruppen und Benutzern verfügen. Das Dienstkonto muss die folgenden Attribute aufweisen: Vorname, Nachname, Anzeigename und E-Mail-Adresse. Bei der E-Mail-Adresse für das Dienstkonto kann es sich um einen Dummy-Wert handeln.
      Hinweis: Wenn Sie ein Dienstkonto mit einer Richtlinie für ablaufende Kennwörter verwenden und ein Kennwort vor der Erneuerung abläuft, können Gruppen und Benutzer nicht synchronisiert werden, es sei denn, Sie stellen die Verbindung zwischen Active Directory und dem Workspace ONE Access Connector wieder her.
    • Zu den notwendigen Attributen für die Synchronisierung von Benutzern für den Zugriff auf VMware Cloud services gehören Vorname, Nachname, E-Mail-Adresse, Benutzername und Domäne. Wenn Ihr Unternehmen den Benutzerprinzipalnamen (User Principal Name, UPN) für die Authentifizierung verwendet, muss dieser als Benutzerprofilattribut verfügbar sein.
      Wichtig: Benutzerkennwörter werden nie synchronisiert.