VMware Identity Manager unterstützt mehrere Authentifizierungsmethoden. Sie können eine einzelne Authentifizierungsmethode konfigurieren und die Zwei-Faktor-Authentifizierung einrichten. Sie können auch eine für RADIUS- und SAML-Protokolle externe Authentifizierungsmethode verwenden.
Von der Identitätsanbieter-Instanz, die Sie mit dem VMware Identity Manager-Dienst verwenden, wird eine Verbundautorität im Netzwerk erstellt, die über SAML 2.0-Annahmen mit dem Dienst kommuniziert.
Nachdem Sie den VMware Identity Manager-Dienst erstmalig bereitgestellt haben, installieren Sie den VMware Identity Manager Connector für Windows als ersten Identitätsanbieter für den Dienst. Der Konnektor verwendet für Benutzerauthentifizierung und -verwaltung die vorhandene Active Directory-Infrastruktur.
Die folgenden Authentifizierungsmethoden werden unterstützt: Sie können diese Authentifizierungsmethoden in der VMware Identity Manager-Konsole konfigurieren.
Authentifizierungsmethoden | Beschreibung |
---|---|
Kennwort (lokale Bereitstellung) |
Wenn Sie nach der Konfiguration von Active Directory keine weiteren Konfigurationen vornehmen, unterstützt VMware Identity Manager die Kennwortauthentifizierung von Active Directory. Diese Methode authentifiziert Benutzer direkt anhand des Active Directory. |
Kerberos für Desktops |
Die Kerberos-Authentifizierung ermöglicht Domänenbenutzern den SSO-Zugang (mit einmaliger Anmeldung) zu ihrem App-Portal. Nach der Anmeldung beim Netzwerk müssen sich die Benutzer nicht erneut bei ihrem App-Portal anmelden. Es können zwei Kerberos-Authentifizierungsmethoden konfiguriert werden: eine Kerberos-Authentifizierung für Desktops mit integrierter Windows-Authentifizierung und eine integrierte Kerberos-Authentifizierung für iOS 9-Mobilgeräte, wenn zwischen Active Directory und der Workspace ONE UEM-Dienst eine Vertrauensbeziehung eingerichtet wurde. |
Zertifikat (lokale Bereitstellung) |
Die zertifikatbasierte Authentifizierung kann so konfiguriert werden, dass Clients sich mithilfe von Zertifikaten auf Desktops und mobilen Geräten authentifizieren oder einen Smartcard-Adapter für die Authentifizierung verwenden können. Die zertifikatbasierte Authentifizierung basiert auf etwas, was der Benutzer besitzt und auf etwas, was die Person weiß. Ein X.509-Zertifikat verwendet den Standard der Public Key Infrastructure (PKI), um zu überprüfen, ob ein im Zertifikat enthaltener öffentlicher Schlüssel dem Benutzer gehört. |
RSA SecurID (lokale Bereitstellung) | Wenn die RSA SecurID-Authentifizierung konfiguriert ist, wird VMware Identity Manager als Authentifizierungsagent im RSA SecurID-Server konfiguriert. Bei der RSA SecurID-Authentifizierung müssen die Benutzer ein Token-basiertes Authentifizierungssystem verwenden. RSA SecurID ist eine Authentifizierungsmethode für Benutzer, die von außerhalb des Unternehmensnetzwerks auf VMware Identity Manager zugreifen. |
RADIUS (lokale Bereitstellung) |
Die RADIUS-Authentifizierung bietet Zwei-Faktor-Authentifizierungsoptionen. Sie richten den RADIUS-Server ein, auf den der VMware Identity Manager-Dienst zugreifen kann. Wenn sich die Benutzer mit ihrem Benutzernamen und dem Passcode anmelden, wird eine Zugriffsanfrage für die Authentifizierung an den RADIUS-Server übermittelt. |
Adaptive RSA-Authentifizierung (lokale Bereitstellung) |
Die RSA-Authentifizierung bietet eine stärkere Multifaktor-Authentifizierung als die einfache Authentifizierung bei Active Directory mit Benutzername und Kennwort. Wenn „Adaptive RSA-Authentifizierung“ aktiviert ist, werden die in der Risikorichtlinie angegebenen Risikoindikatoren in der Anwendung „RSA Policy Management“ eingerichtet. Zur Ermittlung der erforderlichen Authentifizierungsaufforderungen wird die VMware Identity Manager-Dienstkonfiguration der adaptiven Authentifizierung verwendet. |
Mobile SSO-Anmeldung (für iOS) | Die Authentifizierung „Mobile SSO für iOS“ wird zur SSO-Authentifizierung für Workspace ONE UEM-verwaltete iOS-Geräte verwendet. Die Authentifizierung „Mobile SSO (für iOS)“ verwendet ein Key Distribution Center (KDC; Schlüsselverteilungscenter), das zum VMware Identity Manager-Dienst gehört. Vor dem Aktivieren dieser Authentifizierungsmethode müssen Sie den KDC-Dienst im VMware Identity Manager-Dienst starten. |
Mobile SSO-Anmeldung (für Android) | Die Authentifizierung „Mobile SSO (für Android)“ wird zur SSO-Authentifizierung für Workspace ONE UEM-verwaltete Android-Geräte verwendet. Ein Proxy-Dienst wird zwischen dem VMware Identity Manager-Dienst und die Workspace ONE UEM eingerichtet, um das Zertifikat von Workspace ONE UEM zur Authentifizierung abzurufen. |
Kennwort (AirWatch Connector) | Zur Benutzerkennwort-Authentifizierung kann der AirWatch Cloud Connector in den VMware Identity Manager-Dienst integriert werden. Sie können den VMware Identity Manager-Dienst so konfigurieren, dass Benutzer aus dem Workspace ONE UEM-Verzeichnis synchronisiert werden. |
VMware Verify |
VMware Verify kann als zweite Authentifizierungsmethode verwendet werden, wenn die Zwei-Faktor-Authentifizierung erforderlich ist. Die erste Authentifizierungsmethode erfordert die Angabe von Benutzername und Kennwort. Die zweite Authentifizierungsmethode ist eine Genehmigungsanforderung oder ein Code von VMware Verify. VMware Verify verwendet einen Drittanbieter-Clouddienst, um diese Funktion auf Benutzergeräte zu liefern. Dazu werden Benutzerinformationen wie z. B. Name, E-Mail-Adresse und Telefonnummer in dem Dienst gespeichert. Diese werden jedoch nur für die Bereitstellung der Funktion verwendet. |
Kennwort (Lokales Verzeichnis) | Die Methode „Kennwort (Lokales Verzeichnis)“ wird standardmäßig für den Systemidentitätsanbieter aktiviert, der mit dem Systemverzeichnis verwendet wird. Sie gilt für die standardmäßige Zugriffsrichtlinie. |
Nach dem Konfigurieren der Authentifizierungsmethoden können Sie Regeln für die Zugriffsrichtlinie erstellen, die die nach Gerätetyp zu verwendenden Authentifizierungsmethoden angeben. Benutzer werden auf Basis der Authentifizierungsmethoden, der Standardregeln der Zugriffsrichtlinie, der Netzwerkbereiche und der von Ihnen konfigurierten Identitätsanbieter-Instanz authentifiziert. Siehe Verwalten der auf Benutzer anzuwendenden Authentifizierungsmethoden.