Damit Geräte registriert werden können, muss jeder Gerätebenutzer über ein authentifiziertes und von Workspace ONE UEM anerkanntes Benutzerkonto verfügen. Der von Ihnen gewählte Benutzerauthentifizierungstyp hängt von den Anforderungen Ihrer Organisation ab.

Authentifizierungs-Proxy

Der Authentifizierungsproxy bietet Verzeichnisdienstintegration über die Cloud und gehärtete, interne Netzwerke hinweg. In diesem Modell kommuniziert der Workspace ONE UEM-Server mit einem öffentlichen Webserver oder einem Exchange ActiveSync-Server. Bei dieser Konfiguration werden Benutzer anhand des Domänencontrollers authentifiziert.

VORTEILE

  • Sie bietet eine sichere Methode zur Proxyintegration in AD/LDAP quer durch die Cloud.
  • Endbenutzer können ihre Authentifizierung mit vorhandenen Unternehmensanmeldedaten ausführen.
  • Das Lightweight-Modul erfordert minimale Konfiguration.

NACHTEILE

  • Erfordert einen öffentlichen Webserver oder einen Exchange ActiveSync-Server mit Verbindungen zu einem AD/LDAP-Server.
  • Nur bei bestimmten Architekturlayouts möglich.
  • Weitaus weniger zuverlässige Lösung als VMware Enterprise Systems Connector.
  • Kann nicht für Workspace ONE Direct Enrollment verwendet werden.

Dieses Diagramm zeigt einen Reverse-Proxy-Server als Verbindungsglied zwischen Verzeichnisdiensten und Workspace ONE SaaS-Modell.

  1. Zur Registrierung des Geräts wird eine Verbindung mit Workspace ONE UEM hergestellt. Der Benutzer gibt den Benutzernamen und das Kennwort des Verzeichnisdiensts ein.
    • Benutzername und Kennwort werden bei der Übertragung verschlüsselt.
    • Workspace ONE UEM speichert das Kennwort des Benutzer-Verzeichnisdienstes nicht.
  2. Workspace ONE UEM übermittelt den Benutzernamen und das Kennwort an einen konfigurierten Authentifizierungsproxy-Endpunkt, für den eine Authentifizierung erforderlich ist (z. B. Standardauthentifizierung).
  3. Die Anmeldedaten des Benutzers werden mit den Verzeichnisdiensten des Unternehmens abgeglichen.
  4. Wenn die Anmeldedaten des Benutzers gültig sind, lässt der Workspace ONE UEM-Server die Geräteregistrierung zu.

Active Directory mit LDAP-Authentifizierung und VMware Enterprise Systems Connector

Die Active Directory mit LDAP-Authentifizierung und VMware Enterprise Systems Connector bietet denselben Funktionsumfang wie den der konventionellen AD-/LDAP-Authentifizierung. Dieses Modell agiert für SaaS-Bereitstellungen (Software as a Service) über die Cloud.

VORTEILE

  • Endbenutzer authentifizieren sich mit vorhandenen Unternehmensanmeldedaten.
  • Diese Authentifizierung erfordert keine Änderungen an der Firewall, da die Kommunikation über VMware Enterprise Systems Connector in Ihrem Netzwerk initiiert wird.
  • Anmeldedaten werden verschlüsselt und gesichert übertragen.
  • Diese Methode bietet eine sichere Konfiguration für andere Infrastrukturkomponenten, wie BES-, Microsoft AD CS-, SCEP- und SMTP-Server.
  • Kann für Workspace ONE ™ ™ Direct Enrollment verwendet werden.

NACHTEILE

  • Für diese Methode muss VMware Enterprise Systems Connector hinter der Firewall oder in einer DMZ installiert sein.
  • Diese Methode erfordert zusätzliche Konfigurationen.

Modell der SaaS-Bereitstellung

Dieses Diagramm zeigt den VMware Cloud Connector, der Workspace ONE in der Cloud über die Firewall bedient und gleichzeitig auf interne Netzwerkressourcen zugreift.

Modell der lokalen Bereitstellung

Dieses Diagramm zeigt ein Gerät, das über interne Netzwerkressourcen auf Gerätedienste in einer DMZ zugreift, die über eine Firewall bedient wird.

SAML 2.0-Authentifizierung

Die SAML 2.0-Authentifizierung (Security Assertion Markup Language) bietet Unterstützung für Single Sign-On und Verbundauthentifizierung. Workspace ONE UEM erhält nie Unternehmensanmeldedaten.

Wenn eine Organisation über einen SAML-Identitätsanbieterserver verfügt, sollten Sie die SAML 2.0-Integration verwenden. Stellen Sie sicher, dass der Identitätsanbieter das objectGUID-Attribut als Teil der SAML-Antwort zurückgibt.

VORTEILE

  • Sie bietet Single Sign-On-Funktionen.
  • Die Authentifizierung erfolgt mit den vorhandenen Unternehmensanmeldedaten.
  • Workspace ONE UEM erhält niemals Unternehmensanmeldedaten in reinem Textformat.
  • Kann für Workspace ONE Direct Enrollment in Kombination mit einem SAML-Verzeichnisanwender verwendet werden.
  • Umgebungen mit mehreren Domänen werden nur für Administratoren unterstützt.

NACHTEILE

  • Eine geschäftliche SAML-Identitätsanbieterstruktur ist erforderlich.
  • Kann nicht für Workspace ONE Direct Enrollment in Kombination mit SAML-Standardbenutzer verwendet werden.
  • Das Konfigurieren von SAML mit Workspace ONE Access als IDP mit aktivierter Funktion „Lokaler Standardbenutzer“ unterstützt nicht die Authentifizierung von Standardbenutzern.

    Dieses Diagramm zeigt den SaaS-Server von Workspace ONE, der über Internet Eingaben von einem Gerät empfängt und über eine Firewall auf den SAML-Identitätsanbieter zugreift.

    1. Das Gerät stellt zur Registrierung eine Verbindung mit Workspace ONE UEM her. Der UEM-Server leitet das Gerät dann an den vom Client festgelegten Identitätsanbieter um.
    2. Das Gerät stellt eine sichere HTTPS-Verbindung mit dem vom Client bereitgestellten Identitätsanbieter her und der Benutzer gibt die Anmeldedaten ein.
      • Die Anmeldedaten werden bei der direkten Übertragung zwischen dem Gerät und dem SAML-Endpunkt verschlüsselt.
    3. Die Anmeldedaten werden mit den Verzeichnisdiensten abgeglichen.
    4. Der Identitätsanbieter gibt eine signierte SAML-Antwort mit dem authentifizierten Benutzernamen zurück.
    5. Das Gerät antwortet dem Workspace ONE UEM-Server und stellt die signierte SAML-Nachricht bereit. Der Anwender wird authentifiziert.

    Weitere Informationen finden Sie unter Verzeichnisdienste manuell einrichten , wenn Sie zum Abschnitt SAML scrollen.

  • Für SAML-Administratoren, die sich mit Workspace ONE Accessauthentifizieren, stehen keine SaaS-Apps zur Verfügung.

SaaS-Anwendungsfunktionalität für SAML-Administratoren

SaaS-Anwendungen sowie andere Workspace ONE Access-Richtlinien und -Funktionen stehen Ihnen nicht zur Verfügung, wenn Sie ein SAML-Administrator sind, der sich mit Workspace ONE Access authentifiziert. Die folgende Fehlermeldung wird angezeigt, wenn Sie zur Seite „SaaS-Anwendungen“ navigieren.

Stellen Sie sicher, dass Ihr Administratorkonto sowohl in UEM- als auch in IDM-Systemen vorhanden ist und dass die Domäne in Workspace ONE UEM mit der Domäne des gleichen Kontos in VMware Identity Manager genau übereinstimmt.

Um den Zugriff auf die SaaS-Anwendung wiederherzustellen, müssen Sie sich per Standardauthentifizierung bei Workspace ONE UEM anmelden und darüber hinaus Workspace ONE Access in Ihrer Organisationsgruppe aktivieren.

Tokenbasierte Authentifizierung

Die tokenbasierte Authentifizierung bietet Benutzern die einfachste Methode zur Registrierung ihrer Geräte. Mit dieser Registrierungseinstellung generiert Workspace ONE UEM ein Token, das in die Registrierungs-URL eingefügt wird.

Zur Einzeltokenauthentifizierung greift der Benutzer auf den Link vom Gerät zu, um die Registrierung abzuschließen. Der Workspace ONE UEM-Server bezieht sich dabei auf das dem Benutzer bereitgestellte Token.

Legen Sie zur Erhöhung der Sicherheit eine Ablaufzeit (in Stunden) für jedes Token fest. Durch die Festlegung einer Ablaufzeit wird das Risiko minimiert, dass ein anderer Benutzer auf Informationen und Funktionen zugreift, die sich auf dem Gerät befinden.

Sie können sich auch dafür entscheiden, eine 2-Faktor-Authentifizierung zu implementieren, um die Endbenutzer-Identitätsüberprüfung auf ein höheres Niveau zu heben. Mit dieser Authentifizierungseinstellung müssen Benutzer ihren Benutzernamen und ihr Kennwort eingeben, nachdem sie mit dem bereitgestellten Token auf den Registrierungs-Link zugegriffen haben.

VORTEILE

  • Minimaler Arbeitsaufwand für Endbenutzer beim Registrieren und Authentifizieren ihrer Geräte
  • Sichere Tokennutzung durch Festlegen einer Ablaufzeit
  • Keine Anmeldedaten zur Einzeltokenauthentifizierung für Benutzer erforderlich

NACHTEILE

  • Integration von Simple Mail Transfer Protocol (SMTP) oder Short Message Service (SMS) zum Senden eines Tokens an das Gerät erforderlich

Dieses Diagramm zeigt den Admin-Benutzer, der einem Registrierungsbenutzer ein Token für die einmalige Verwendung bereitstellt.

  1. Der Administrator autorisiert die Eintragung von Benutzergeräten.
  2. Ein einmaliges Token wird generiert und über Workspace ONE UEM an den Benutzer gesendet.
  3. Der Benutzer erhält ein Token und ruft die Registrierungs-URL auf. Der Benutzer wird zum Nachweis eines Tokens und optional zur 2-Faktor-Authentifizierung aufgefordert.
  4. Die Geräteregistrierung wird durchgeführt.
  5. Das Token wird von Workspace ONE UEM als abgelaufen gekennzeichnet.
Hinweis: SMTP ist bei SaaS-Einsätzen enthalten.

Aktivieren von Sicherheitstypen zur Registrierung

Aktivieren Sie nach der Integration von Workspace ONE UEM mit einem Benutzer-Sicherheitstyp und vor der Registrierung jeden Authentifizierungsmodus, den Sie zulassen möchten.

  1. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung auf der Registerkarte Authentifizierung.
  2. Aktivieren Sie die entsprechenden Kontrollkästchen für die Einstellung Authentifizierungsmodus.
    Einstellung Beschreibung
    E-Mail-Domäne hinzufügen Diese Schaltfläche ist für die Einrichtung des Service „AutoErmittlung“ zur Registrierung von E-Mail-Domänen in Ihrer Umgebung vorgesehen.
    Authentifizierungsmodus/-modi)

    Wählen Sie unter den folgenden zulässige Authentifizierungstypen aus:

    • Standard – Standardbenutzerkonten (von Ihnen manuell in der UEM-Konsole erstellte) können registriert werden.
    • Directory – Directory-Benutzerkonten (von Ihnen importierte oder zur Verwendung der Verzeichnisdienst-Integration zugelassene) können registriert werden. Workspace ONE Direct Enrollment unterstützt Verzeichnisbenutzer mit oder ohne SAML.
    • Authentifizierungsproxy – Ermöglicht Benutzern das Registrieren mithilfe von Authentifizierungsproxy-Benutzerkonten. Benutzer authentifizieren sich bei einem Webendpunkt.
      • Geben Sie die Authentifizierungs-Proxy-URL, das Authentifizierungs-Proxy-URL-Backupund den Authentifizierungsmethodentyp ein (wählen Sie zwischen HTTP BASIC und Exchange ActiveSync).
    Authentifizierungsquelle für Intelligent Hub

    Wählen Sie das System aus, das vom Intelligent Hub-Dienst als Quelle für Benutzer und Authentifizierungsrichtlinien verwendet wird.

    • Workspace ONE UEM: Wählen Sie diese Einstellung, wenn Sie möchten, dass Hub-Dienste Workspace ONE UEM als Quelle für Benutzer und Auth-Richtlinien verwenden.

      Sie die Seite Hub-Konfiguration für Hub-Dienste konfigurieren, geben Sie die Mandant-URL für Hub-Dienste an.

    • Workspace ONE Access – Wählen Sie diese Einstellung aus, wenn Sie möchten, dass die NUB Services Workspace One Access als Quelle für Benutzer und Authentifizierungsmethoden verwenden.

      Sie die Seite Hub-Konfiguration für Hub-Dienste konfigurieren, geben Sie die Workspace ONE Access-Mandant-URL an.

    Weitere Informationen zu Workspace ONE Intelligent Hub finden Sie unter Dokumentation zu VMware Workspace ONE Hub-Dienste.

    Ausführliche Informationen zu Workspace ONE Access finden Sie in der Dokumentation zu Workspace ONE Access von VMware.

    Geräteregistrierungsmodus

    Wählen Sie unter den folgenden Ihren bevorzugten Geräteregistrierungsmodus:

    • Offene Registrierung – Im Wesentlichen ermöglicht dies jedem Benutzer die Registrierung, der die anderen Registrierungskriterien erfüllt (Authentifizierungsmodus, Einschränkungen usw.). Workspace ONE Direct Enrollment unterstützt offene Registrierung.
    • Nur registrierte Geräte – Nur zugelassene Benutzer mit von Ihnen oder den Benutzern registrierten Geräten sind zur Registrierung zugelassen. Bei der Geräteregistrierung werden Unternehmensgeräte zur UEM-Konsole hinzugefügt, bevor diese registriert werden. Workspace ONE Direct Enrollment unterstützt es, nur registrierten Geräten die Registrierung zu erlauben. Dies gilt aber nur, wenn keine Registrierungstoken erforderlich sind.
    Registrierungstoken verlangen

    Nur sichtbar, wenn Nur registrierte Geräte ausgewählt wurde.

    Wenn Sie die Anmeldung auf registrierte Geräte beschränken, können Sie zudem festlegen, dass ein Registrierungstoken für die Registrierung erforderlich ist. Dadurch wird die Sicherheit erhöht, da bestätigt wird, dass ein bestimmter Benutzer zur Registrierung autorisiert ist. Sie können eine E-Mail oder SMS mit angehängtem Registrierungstoken an Benutzer mit Workspace ONE UEM Konten senden.

    Intelligent Hub-Registrierung für iOS verlangen Aktivieren Sie dieses Kontrollkästchen, um festzulegen, dass Nutzer von iOS-Geräten den Workspace ONE Intelligent Hub vor dem Registrieren herunterladen und installieren müssen. Wenn diese Option deaktiviert ist, ist die Web-Registrierung verfügbar.
    Intelligent Hub-Registrierung für macOS verlangen Aktivieren Sie dieses Kontrollkästchen, um festzulegen, dass Nutzer von macOS-Geräten den Workspace ONE Intelligent Hub vor dem Registrieren herunterladen und installieren müssen. Wenn diese Option deaktiviert ist, ist die Web-Registrierung verfügbar.
  3. Wählen Sie Speichern.

Standardmäßige Benutzerauthentifizierung

Die Standardauthentifizierung kann zur Identifizierung von Benutzern in der Workspace ONE UEM-Architektur verwendet werden, bietet jedoch keine Integration für bestehende Unternehmensbenutzerkonten.

VORTEILE

  • Kann für jede Bereitstellungsmethode verwendet werden.
  • Erfordert keine technische Integration.
  • Erfordert keine Unternehmensinfrastruktur.

NACHTEILE

  • Kann nicht mit AutoErmittlung verwendet werden.
  • Anmeldedaten existieren nur in Workspace ONE UEM und stimmen mit vorhandenen Unternehmensanmeldedaten nicht unbedingt überein.
  • Bietet keine Verbundsicherheit oder Single Sign-On.
  • Alle Benutzernamen und Kennwörter werden in Workspace ONE UEM gespeichert.
  • Kann nicht für Workspace ONE Direct Enrollment verwendet werden.

  1. Der Konsolenbenutzer meldet sich zur Authentifizierung mit dem lokalen Konto in Workspace ONE UEM SaaS an (Standardauthentifizierung).
    • Anmeldedaten werden bei der Übertragung verschlüsselt.
    • (Beispiel: Benutzername „jdoe@air-watch.com“, Kennwort „Abcd“).
  2. Der Gerätebenutzer registriert das Gerät über das lokale Workspace ONE UEM-Konto (Standardauthentifizierung).
    • Anmeldedaten werden bei der Übertragung verschlüsselt.
    • (Beispiel: Benutzername „jdoe2“, Kennwort „2557“).

Active Directory mit LDAP-Authentifizierung

Active Directory (AD) mit der Authentifizierung über das Lightweight Directory Access-Protokoll (LDAP) wird verwendet, um Benutzer- und Administratorenkonten von Workspace ONE UEM in vorhandene Unternehmenskonten zu integrieren.

VORTEILE

  • Endbenutzer authentifizieren sich nun mit vorhandenen Unternehmensanmeldedaten.
  • Sie stellt eine sichere Methode zur Integration in LDAP/AD dar.
  • Sie bietet eine Standardintegrationsmethode.
  • Kann für Workspace ONE Direct Enrollment verwendet werden.

NACHTEILE

  • Für die Authentifizierung ist ein AD- oder ein anderer LDAP-Server erforderlich.

Dieses Diagramm zeigt ein Gerät, das über das Internet auf UEM Console zugreift und eine Firewall durchläuft. UEM Console greift auf Verzeichnisdienste zu.

  1. Zur Registrierung des Geräts wird eine Verbindung mit Workspace ONE UEM hergestellt. Der Benutzer gibt den Benutzernamen und das Kennwort des Verzeichnisdiensts ein.
    • Benutzername und Kennwort werden bei der Übertragung verschlüsselt.
    • Workspace ONE UEM speichert das Kennwort des Benutzer-Verzeichnisdienstes nicht.
  2. Workspace ONE UEM fragt zur Authentifizierung mit einem Dienstkonto die Verzeichnisdienste des Clients per Internet durch ein sicheres LDAP-Protokoll ab.
  3. Die Anmeldedaten des Benutzers werden mit dem Verzeichnisdienst des Unternehmens abgeglichen.
  4. Wenn die Anmeldedaten des Benutzers gültig sind, lässt der Workspace ONE UEM-Server die Geräteregistrierung zu.