In diesem Abschnitt werden häufig gestellte Fragen über den Unternehmensverbund von Unternehmensdomänen mit VMware Cloud services behandelt.

F: Kann ich nach der Einrichtung des Unternehmensverbunds für meine Unternehmensdomäne weiterhin mit meinem VMware-ID-Konto (My VMware-Konto) auf „my.vmware.com“ zugreifen?

A: Ja. Wenn für Ihre Domäne(n) ein Verbund eingerichtet ist, können Sie nur mit Ihrem Unternehmenskonto auf VMware Cloud services zugreifen, Ihr My VMware-Konto jedoch weiterhin für den Zugriff auf my.vmware.com verwenden.

F: Muss ich trotzdem ein Konto bei VMware erstellen, wenn mein Unternehmenskonto ein Verbundkonto ist?

A: Als Benutzer eines Verbundkontos müssen Sie nur dann ein My VMware-Konto erstellen, wenn Sie ein Support-Ticket erstellen oder abrechnungs- und abonnementbezogene Vorgänge ausführen möchten.

F: Kann ich mein VMware-ID-Konto weiterhin verwenden, um mich beim VMware Cloud Services-Portal anzumelden, nachdem der Verbund für mein Unternehmen eingerichtet wurde?

A: Nein. Nachdem der Unternehmensverbund mit Ihrem Unternehmensidentitätsanbieter eingerichtet wurde, können Sie sich nur noch mit Ihren Unternehmensanmeldedaten bei VMware Cloud services anmelden.

F: Führt die Verknüpfung meines VMware-ID-Kontos mit meinem Unternehmenskonto zu Änderungen an meinem Unternehmenskonto?

A: Ihr Unternehmenskonto ändert sich nicht, wenn es mit Ihrem My VMware-Konto verknüpft wird. Durch die Verknüpfung wird eine interne Zuordnung erstellt, die keine Auswirkungen auf die Attribute Ihres Unternehmenskontos hat.

F: Kann ich nach Einrichtung des Unternehmensverbunds Multifaktor-Authentifizierung (MFA) für den Zugriff auf VMware Cloud Services erzwingen?

A: Das hängt von der Unternehmenseinrichtung ab. Wenn der von Ihrem Unternehmen verwendete Identitätsanbieter für MFA eingerichtet ist, lautet die Antwort ja. Sie werden bei der Anmeldung zur MFA aufgefordert, um auf VMware Cloud services zuzugreifen.

F: Ist der Unternehmensverbund an eine bestimmte Organisation oder einen bestimmten Dienst in VMware Cloud Services gebunden?

A: Nein. Der Unternehmensverbund ist domänenweit. Jeder Benutzer mit registrierten und verifizierten Domänen kann auf jede VMware Cloud services-Organisation und die von ihr abonnierten Dienste zugreifen.

Wenn Sie zusätzliche Cloud-Dienste von VMware abonnieren, greifen Sie weiterhin mit Ihren Unternehmensanmeldedaten auf die neuen Dienste zu.

F: Kann ich den Unternehmensverbund rückgängig machen, nachdem er aktiviert wurde?

A: Ja. Um die Einrichtung des Verbunds für Ihre Domänen rückgängig zu machen, müssen Sie ein Support-Ticket in der Cloud Services Console erstellen. Wenn der VMware Support die Einrichtung des Unternehmensverbunds rückgängig macht, können alle Berechtigungen, Benutzer und Gruppen, die nach der Einrichtung des Verbunds hinzugefügt wurden, verloren gehen.

F: Warum werden die Dienste in meiner Organisation nicht angezeigt, nachdem ich mich mit meinem Unternehmenskonto angemeldet habe?

Bevor der Unternehmensverbund für Ihr Unternehmen eingerichtet wurde, haben Sie sich mit Ihrem My VMware-Konto bei VMware Cloud services authentifiziert. Nach Aktivierung des Verbunds verwenden Sie Ihr Unternehmenskonto, um sich bei VMware Cloud services anzumelden und direkt bei Ihrem Unternehmensidentitätsanbieter zu authentifizieren. Um auf die Dienste zu zugreifen, die Sie zuvor durch Anmeldung mit Ihrem My VMware-Konto verwendet haben, müssen Sie Ihr Unternehmenskonto mit Ihrer VMware-ID verknüpfen. Nur wenn die beiden Konten verknüpft sind, werden je nach Ihrer Organisations- und Dienstrolle in der Organisation Dienste für Sie sichtbar und zugänglich.

F: Warum werden nach der Aktivierung des Unternehmensverbunds zwei Konten unter der Registerkarte „Identität und Zugriff“ angezeigt?

Ursprünglich haben Sie Ihr My VMware-Konto verwendet, um auf VMware Cloud services zuzugreifen. Angenommen, Sie haben Ihr My VMware-Konto unter Verwendung von joe@acme.com erstellt und sich mit diesem Konto bei VMware Cloud services angemeldet. Nach dem Verbund greifen Sie mit Ihrem Verbundkonto auf VMware Cloud services zu und verknüpfen Ihr My VMware-ID-Konto. Die ursprüngliche ID joe@acme.com ist abgeblendet und als „VMware-ID“ gekennzeichnet, um darauf hinzuweisen, dass dieses My VMware-Konto nicht mehr verwendet wird. Es bleibt jedoch als „Schattenkonto“ sichtbar.

Schattenkonten können hinsichtlich der Zuweisung von Organisations- oder Dienstrollen nicht geändert werden. Es wird empfohlen, diese Einträge nach Aktivierung der Verbundeinrichtung wenigstens einige Monate lang beizubehalten, falls Sie die Einrichtung des Unternehmensverbunds rückgängig machen möchten.

F: Welche Art von externen Identitätsanbietern wird unterstützt?

A: Alle SAML 2.0-konformen externen Identitätsanbieter werden für den Unternehmensverbund mit VMware Cloud services unterstützt.

F: Ich habe keinen SAML 2.0-konformen externen Identitätsanbieter und möchte mich direkt beim Active Directory(AD)-Dienst meines Unternehmens authentifizieren. Wird dies unterstützt?

Ja. Sie können die integrierten Authentifizierungsmethoden der lokalen Workspace ONE Access Connector-Instanz verwenden, um Benutzer direkt beim AD-Dienst Ihres Unternehmens zu authentifizieren.

F: Kann ich eine virtuelle Windows-Maschine verwenden, die mithilfe von VMware-Technologie erstellt wurde, um die lokale Workspace ONE Access Connector-Instanz zu installieren?

A: Ja. Mithilfe von VMware-Technologie können Sie eine virtuelle Windows-Maschine erstellen, die zum Installieren von Workspace ONE Access Connector für Windows verwendet werden kann.

F: Muss Workspace ONE Access Connector lokal installiert werden?

A: Workspace ONE Access Connector für Windows ist eine lokale Komponente, die in der Regel im Intranet oder in der grünen Zone eines Unternehmens installiert wird. Kunden können den Connector jedoch in einer Cloud installieren, sofern er über das LDAP/LDAPS-Protokoll an den Ports 389 und 636 mit dem Active Directory-Dienst des Unternehmens kommunizieren kann.

Für mein Unternehmen ist bereits ein Workspace ONE Access-Mandant vorhanden, der als Teil anderer über VMware erworbener Produkte konfiguriert wurde. Kann ich die vorhandene Mandanteninstanz für die Einrichtung des Self-Service-Verbunds verwenden, anstatt eine neue zu erstellen?

Nein, Sie können keinen bereits vorhandenen Mandanten von Workspace ONE Access (ehemals VMware Identity Manager) verwenden. Im Rahmen der Einrichtung des Self-Service-Verbunds wird ein neuer Workspace ONE Access-Mandant erstellt. Er wird ausschließlich für VMware Cloud Services verwendet. Die Verwendung des neuen Workspace ONE Access-Mandanten für den Zugriff auf VMware Cloud Services ist kostenlos und erfordert keine Lizenz.

Dasselbe gilt für die Verwendung einer vorhandenen Workspace ONE Access Connector-Instanz. Für die Einrichtung des Verbunds ist eine neue Connector-Instanz erforderlich.

Mein Unternehmen verfügt bereits über eine lokale Workspace ONE Access Connector-Instanz. Kann ich für die Einrichtung des Self-Service-Verbunds die vorhandene Connector-Instanz verwenden, anstatt eine neue zu erstellen?

Nein. Für die Einrichtung des Self-Service-Verbunds muss Ihr Unternehmen eine dedizierte Workspace ONE Access Connector-Instanz installieren und konfigurieren, die nur für den Verbund mit -VMware Cloud Services verwendet wird.

Dasselbe gilt für die Verwendung eines vorhandenen Workspace ONE Access-Mandanten. Für die Einrichtung des Verbunds ist ein neuer Mandant erforderlich.

F: Muss ich Firewall-Ports für Workspace ONE Access Connector öffnen, um eine Vertrauensstellung mit der Workspace ONE Access-Dienstinstanz zu konfigurieren?

A: Workspace ONE Access Connector kommuniziert über den ausgehenden HTTPS/443-Kanal mit der Workspace ONE Access-Dienstinstanz, die als Identitätsbroker fungiert. Wenn die Firewall den Zugriff auf externe Domänen blockiert, muss VMware-Domänen Zugriff gewährt werden.

F: Welche Daten werden von der lokalen Workspace ONE Access Connector-Instanz synchronisiert?

A: Die lokale Workspace ONE Access Connector-Instanz wird für die Synchronisierung von Benutzern und Gruppen mit der Workspace ONE Access-Dienstinstanz (Identitätsbroker) für den Identitätsanbieter des Kunden verwendet. Nur die während der Self-Service-Einrichtung konfigurierten Benutzer- und Gruppen-DNs werden synchronisiert, nicht das gesamte AD-Verzeichnis. Es werden nur einige erforderliche Attribute synchronisiert: Vorname, Nachname, E-Mail-Adresse, Benutzername und Domäne. Wenn das Unternehmen Benutzerprinzipalnamen (User Principal Name, UPN) zur Authentifizierung von Benutzern verwendet, muss dieses Attribut für die Synchronisierung ebenfalls einen Wert aufweisen.
Wichtig: Benutzerkennwörter werden nie synchronisiert.

F: In welchen Regionen wird die Workspace ONE Access-Dienstinstanz (Identitätsbroker) gehostet?

A: Die Workspace ONE Access-Dienstinstanz wird auf AWS in der Region USA gehostet.

F: Kann ich Benutzer aus verschiedenen Domänen, die ich besitze (z. B. „acme.com“, „ext.acme.com“ und „company.com“), bei meinem Identitätsanbieter authentifizieren?

A: Ja. Wenn Sie alle öffentlichen Domänen, die Sie besitzen, überprüfen können, können sich die Benutzer dieser Domänen mit ihren Unternehmensanmeldedaten bei VMware Cloud services authentifizieren. Die Benutzer all dieser Domänen müssen zuerst mit der Workspace ONE Access-Dienstinstanz (Identitätsbroker) synchronisiert werden.

F: Kann ich der Organisation des Unternehmensverbunds Dienste hinzufügen?

A: Nein. Sie können und dürfen der Organisation des Unternehmensverbunds keine Dienste hinzufügen. Der Zugriff auf die Organisation des Unternehmensverbund erfolgt ausschließlich, um Vorgänge auszuführen, die sich auf alle Dienste und Organisationen für eine bestimmte Domäne auswirken.

Gibt es ein Konto für den Notfallzugriff, mit dem ich auf VMware Cloud Services zugreifen kann, wenn es mir nicht möglich ist, mich mit meinen Unternehmensanmeldedaten anzumelden?

Sie können Ihrer Organisation ein My VMware-Konto mit einer Domäne hinzufügen, die keine Verbunddomäne ist. Wenn beispielsweise „acme.com“ eine Verbunddomäne ist, kann jedes My VMware-Konto mit einer Nicht-acme.com-Domäne für die Anmeldung bei VMware Cloud services verwendet werden. Der Benutzer mit dem My VMware-Konto muss der Organisation als Organisationsbesitzer oder Organisationsmitglied hinzugefügt werden.

Werden die Attribute, die aus dem Active Directory-Verzeichnis meines Unternehmens synchronisiert werden, verschlüsselt, wenn sie von der Workspace ONE Access-Dienstinstanz und von VMware Cloud Services auf AWS beibehalten werden?

Nein. Die Benutzerattribute Vorname, Nachname, E-Mail-Adresse, Benutzername, Domäne und UPN werden nicht verschlüsselt, wenn sie von VMware Cloud services auf AWS beibehalten werden.

Wie wirkt sich ein Ausfall des Connector-Servers auf Benutzer aus, die auf Cloud Services Console zugreifen? Kann ich den Connector im HA-Modus konfigurieren?

Wenn Ihr Unternehmen statt der Connector-basierten Authentifizierungsmethoden Authentifizierung über einen externen Identitätsanbieter verwendet, erfolgt die gesamte Benutzerauthentifizierung direkt beim Identitätsanbieter. In diesem Fall wird die Anmeldung von Benutzern, die bereits synchronisiert sind, durch einen Ausfall des Connectors nicht beeinträchtigt. Da der Connector nur für die Benutzer- und Gruppensynchronisierung verwendet wird, ist ein Connector im HA-Modus möglicherweise nicht erforderlich.