Die SAML 2.0-Authentifizierung (Security Assertion Markup Language) bietet Unterstützung für Single Sign-On und Verbundauthentifizierung. Workspace ONE UEM erhält nie Unternehmensanmeldedaten.

Wenn eine Organisation über einen SAML-Identitätsanbieterserver verfügt, sollten Sie die SAML 2.0-Integration verwenden. Stellen Sie sicher, dass der Identitätsanbieter das objectGUID-Attribut als Teil der SAML-Antwort zurückgibt.

Pros

  • Sie bietet Single Sign-On-Funktionen.
  • Die Authentifizierung erfolgt mit den vorhandenen Unternehmensanmeldedaten.
  • Workspace ONE UEM erhält niemals Unternehmensanmeldedaten in reinem Textformat.
  • Kann für Workspace ONE Direct Enrollment in Kombination mit einem SAML-Verzeichnisanwender verwendet werden.
  • Umgebungen mit mehreren Domänen werden nur für Administratoren unterstützt.

Kontras

  • Eine geschäftliche SAML-Identitätsanbieterstruktur ist erforderlich.
  • Kann nicht für Workspace ONE Direct Enrollment in Kombination mit SAML-Standardbenutzer verwendet werden.
  • Für SAML-Administratoren, die sich mit Workspace ONE Accessauthentifizieren, stehen keine SaaS-Apps zur Verfügung. Details dazu finden Sie nachfolgend.

Dieses Diagramm zeigt den SaaS-Server von Workspace ONE, der über Internet Eingaben von einem Gerät empfängt und über eine Firewall auf den SAML-Identitätsanbieter zugreift.

  1. Das Gerät stellt zur Registrierung eine Verbindung mit Workspace ONE UEM her. Der UEM-Server leitet das Gerät dann an den vom Client festgelegten Identitätsanbieter um.
  2. Das Gerät stellt eine sichere HTTPS-Verbindung mit dem vom Client bereitgestellten Identitätsanbieter her und der Benutzer gibt die Anmeldedaten ein.
    • Die Anmeldedaten werden bei der direkten Übertragung zwischen dem Gerät und dem SAML-Endpunkt verschlüsselt.
  3. Die Anmeldedaten werden mit den Verzeichnisdiensten abgeglichen.
  4. Der Identitätsanbieter gibt eine signierte SAML-Antwort mit dem authentifizierten Benutzernamen zurück.
  5. Das Gerät antwortet dem Workspace ONE UEM-Server und stellt die signierte SAML-Nachricht bereit. Der Anwender wird authentifiziert.

    Weitere Informationen finden Sie im VMware AirWatch SAML Integration Guide.

SaaS-Anwendungsfunktionalität für SAML-Administratoren

SaaS-Anwendungen sowie andere Workspace ONE Access-Richtlinien und -Funktionen stehen Ihnen nicht zur Verfügung, wenn Sie ein SAML-Administrator sind, der sich mit Workspace ONE Access authentifiziert. Die folgende Fehlermeldung wird angezeigt, wenn Sie zur Seite „SaaS-Anwendungen“ navigieren.

Stellen Sie sicher, dass Ihr Administratorkonto sowohl in UEM- als auch in IDM-Systemen vorhanden ist und dass die Domäne in Workspace ONE UEM mit der Domäne des gleichen Kontos in VMware Identity Manager genau übereinstimmt.

Um den Zugriff auf die SaaS-Anwendung wiederherzustellen, müssen Sie sich per Standardauthentifizierung bei Workspace ONE UEM anmelden und darüber hinaus Workspace ONE Access in Ihrer Organisationsgruppe aktivieren.