Anwenderauthentifizierungstypen

Bevor Sie Geräte registrieren, muss jeder Gerätebenutzer über ein authentifiziertes, von Workspace ONE UEM anerkanntes Benutzerkonto verfügen. Der von Ihnen gewählte Benutzerauthentifizierungstyp hängt von den Anforderungen Ihrer Organisation ab.

Authentifizierungs-Proxy

Der Authentifizierungsproxy bietet Verzeichnisdienstintegration über die Cloud und gehärtete, interne Netzwerke hinweg. In diesem Modell kommuniziert der Workspace ONE UEM-Server mit einem öffentlichen Webserver oder einem Exchange ActiveSync-Server. Bei dieser Konfiguration werden Benutzer anhand des Domänencontrollers authentifiziert.

VORTEILE

Sie bietet eine sichere Methode zur Proxyintegration in AD/LDAP quer durch die Cloud.
Endbenutzer authentifizieren sich mit vorhandenen Unternehmensanmeldedaten.
Das Lightweight-Modul erfordert minimale Konfiguration.

NACHTEILE

Erfordert einen öffentlichen Webserver oder einen Exchange ActiveSync-Server mit Verbindungen zu einem AD/LDAP-Server.
Nur bei bestimmten Architekturlayouts möglich.
Weitaus weniger zuverlässige Lösung als VMware Enterprise Systems Connector.
kann nicht für Workspace ONE Direct Enrollment verwendet werden.

Dieses Diagramm zeigt einen Reverse-Proxy-Server als Verbindungsglied zwischen Verzeichnisdiensten und Workspace ONE SaaS-Modell.

Das Gerät verbindet sich zur Geräteregistrierung mit Workspace ONE UEM. Der Benutzer gibt den Benutzernamen und das Kennwort des Verzeichnisdiensts ein.
- Benutzername und Kennwort werden während des Transports verschlüsselt.
- Workspace ONE UEM speichert das Kennwort des Benutzer-Verzeichnisdienstes nicht.
Workspace ONE UEM übermittelt den Benutzernamen und das Kennwort an einen konfigurierten Authentifizierungsproxy-Endpunkt, für den eine Authentifizierung erforderlich ist (z. B. Standardauthentifizierung).
Die Anmeldedaten des Benutzers werden mit den Verzeichnisdiensten des Unternehmens abgeglichen.
Wenn die Anmeldedaten des Benutzers gültig sind, registriert der Workspace ONE UEM-Server das Gerät.

Active Directory mit LDAP-Authentifizierung und VMware Enterprise Systems Connector

Die Active Directory mit LDAP-Authentifizierung und VMware Enterprise Systems Connector bietet denselben Funktionsumfang wie den der konventionellen AD-/LDAP-Authentifizierung. Dieses Modell agiert für SaaS-Bereitstellungen (Software as a Service) über die Cloud.

VORTEILE

Endbenutzer authentifizieren sich mit vorhandenen Unternehmensanmeldedaten.
Diese Authentifizierung erfordert keine Änderungen an der Firewall, da die Kommunikation über VMware Enterprise Systems Connector in Ihrem Netzwerk initiiert wird.
Die Übertragung von Anmeldedaten verschlüsselt sicher.
Diese Methode bietet eine sichere Konfiguration für andere Infrastrukturkomponenten, wie BES-, Microsoft AD CS-, SCEP- und SMTP-Server.
Kompatibel mit Workspace ONE ™ Direct Enrollment.

NACHTEILE

Für diese Methode muss VMware Enterprise Systems Connector hinter der Firewall oder in einer DMZ installiert sein.
Diese Methode erfordert zusätzliche Konfigurationen.

Modell der SaaS-Bereitstellung

Dieses Diagramm zeigt den VMware Cloud Connector, der Workspace ONE in der Cloud über die Firewall bedient und gleichzeitig auf interne Netzwerkressourcen zugreift.

Modell der lokalen Bereitstellung

Dieses Diagramm zeigt ein Gerät, das über interne Netzwerkressourcen auf Gerätedienste in einer DMZ zugreift, die über eine Firewall bedient wird.

SAML 2.0-Authentifizierung

Die SAML 2.0-Authentifizierung (Security Assertion Markup Language) bietet Unterstützung für Single Sign-On und Verbundauthentifizierung. Workspace ONE UEM empfängt nie Unternehmensanmeldedaten.

Wenn eine Organisation über einen SAML-Identitätsanbieterserver verfügt, sollten Sie die SAML 2.0-Integration verwenden. Stellen Sie sicher, dass der Identitätsanbieter das objectGUID-Attribut als Teil der SAML-Antwort zurückgibt.

VORTEILE

Sie bietet Single Sign-On-Funktionen.
Die Authentifizierung erfolgt mit den vorhandenen Unternehmensanmeldedaten.
Workspace ONE UEM empfängt nie Unternehmensanmeldedaten als Nur-Text.
Kompatibel mit Workspace ONE Direct Enrollment bei Kombination mit einem SAML Directory-Benutzer.
Nur Administratoren können Umgebungen mit mehreren Domänen verwenden.

NACHTEILE

Eine geschäftliche SAML-Identitätsanbieterstruktur ist erforderlich.
Inkompatibel mit Workspace ONE Direct Enrollment bei Kombination mit einem SAML-Standardbenutzer.
Das Konfigurieren von SAML mit Workspace ONE Access als IDP mit aktivierter Funktion „Lokaler Standardbenutzer“ unterstützt nicht die Authentifizierung von Standardbenutzern.
1. Das Gerät verbindet sich zur Registrierung mit Workspace ONE UEM. Der UEM-Server leitet das Gerät dann an den vom Client festgelegten Identitätsanbieter um.
2. Das Gerät stellt eine sichere HTTPS-Verbindung mit dem vom Client bereitgestellten Identitätsanbieter her und der Benutzer gibt die Anmeldedaten ein.
  - Anmeldedaten, die während des Transports direkt zwischen dem Gerät und dem SAML-Endpoint verschlüsselt werden.
3. Anmeldedaten werden anhand von Verzeichnisdiensten validiert.
4. Der Identitätsanbieter gibt eine signierte SAML-Antwort mit dem authentifizierten Benutzernamen zurück.
5. Das Gerät antwortet dem Workspace ONE UEM-Server und stellt die signierte SAML-Nachricht bereit. Der Benutzer authentifiziert sich. Weitere Informationen finden Sie unter Verzeichnisdienste manuell einrichten , wenn Sie zum Abschnitt SAML scrollen.
Für SAML-Administratoren, die sich mit Workspace ONE Access authentifizieren, stehen keine SaaS-Apps zur Verfügung.

SaaS-Anwendungsfunktionalität für SAML-Administratoren

SaaS-Anwendungen sowie andere Workspace ONE Access-Richtlinien und -Funktionen stehen Ihnen nicht zur Verfügung, wenn Sie ein SAML-Administrator sind, der sich mit Workspace ONE Access authentifiziert. Die folgende Fehlermeldung wird angezeigt, wenn Sie zur Seite „SaaS-Anwendungen“ navigieren.

Stellen Sie sicher, dass Ihr Administratorkonto sowohl in UEM- als auch in IDM-Systemen vorhanden ist und dass die Domäne in Workspace ONE UEM mit der Domäne des gleichen Kontos in VMware Identity Manager genau übereinstimmt.

Um den Zugriff auf die SaaS-Anwendung wiederherzustellen, müssen Sie sich per Standardauthentifizierung bei Workspace ONE UEM anmelden und darüber hinaus Workspace ONE Access in Ihrer Organisationsgruppe aktivieren.

Tokenbasierte Authentifizierung

Die tokenbasierte Authentifizierung bietet Benutzern die einfachste Methode zur Registrierung ihrer Geräte. Mit dieser Registrierungseinstellung generiert Workspace ONE UEM ein Token, das in die Registrierungs-URL eingefügt wird.

Zur Einzeltokenauthentifizierung greift der Benutzer auf den Link vom Gerät zu, um die Registrierung abzuschließen. Der Workspace ONE UEM-Server bezieht sich dabei auf das dem Benutzer bereitgestellte Token.

Legen Sie zur Erhöhung der Sicherheit eine Ablaufzeit (in Stunden) für jedes Token fest. Durch die Festlegung einer Ablaufzeit wird das Risiko minimiert, dass ein anderer Benutzer auf Informationen und Funktionen zugreift, die sich auf dem Gerät befinden.

Sie können sich auch dafür entscheiden, eine 2-Faktor-Authentifizierung zu implementieren, um die Endbenutzer-Identitätsüberprüfung auf ein höheres Niveau zu heben. Mit dieser Authentifizierungseinstellung müssen Benutzer ihren Benutzernamen und ihr Kennwort eingeben, nachdem sie mit dem bereitgestellten Token auf den Registrierungs-Link zugegriffen haben.

VORTEILE

Minimaler Arbeitsaufwand für Endbenutzer beim Registrieren und Authentifizieren ihrer Geräte
Sichere Tokennutzung durch Festlegen einer Ablaufzeit
Keine Anmeldedaten zur Einzeltokenauthentifizierung für Benutzer erforderlich

NACHTEILE

Integration von Simple Mail Transfer Protocol (SMTP) oder Short Message Service (SMS) zum Senden eines Tokens an das Gerät erforderlich

Dieses Diagramm zeigt den Admin-Benutzer, der einem Registrierungsbenutzer ein Token für die einmalige Verwendung bereitstellt.

Der Administrator autorisiert die Eintragung von Benutzergeräten.
Ein einmaliges Token wird generiert und über Workspace ONE UEM an den Benutzer gesendet.
Der Benutzer erhält ein Token und ruft die Registrierungs-URL auf. Der Benutzer wird zum Nachweis eines Tokens und optional zur 2-Faktor-Authentifizierung aufgefordert.
Die Geräteregistrierung wird durchgeführt.
Workspace ONE UEM markiert das Token als abgelaufen.

Hinweis: SaaS-Bereitstellungen enthalten SMTP.

Aktivieren von Sicherheitstypen zur Registrierung

Aktivieren Sie nach der Integration von Workspace ONE UEM mit einem ausgewählten Benutzersicherheitstyp und vor der Registrierung jeden Authentifizierungsmodus, den Sie zulassen möchten.

Navigieren Sie auf der Registerkarte Authentifizierung zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung.

Aktivieren Sie die entsprechenden Kontrollkästchen für die Einstellung Authentifizierungsmodus.

Einstellung	Beschreibung
E-Mail-Domäne hinzufügen	Diese Schaltfläche ist für die Einrichtung des Service „AutoErmittlung“ zur Registrierung von E-Mail-Domänen in Ihrer Umgebung vorgesehen.
Authentifizierungsmodus/-modi	Wählen Sie unter den folgenden zulässige Authentifizierungstypen aus: * Standard – Standardbenutzerkonten (von Ihnen manuell in der UEM-Konsole erstellte) können registriert werden. * Directory – Directory-Benutzerkonten (von Ihnen importierte oder zur Verwendung der Verzeichnisdienst-Integration zugelassene) können registriert werden. Workspace ONE Direct Enrollment unterstützt Verzeichnisbenutzer mit oder ohne SAML. * Authentifizierungsproxy – Ermöglicht Benutzern das Registrieren mithilfe von Authentifizierungsproxy-Benutzerkonten. Benutzer authentifizieren sich bei einem Webendpunkt. Geben Sie die Authentifizierungs-Proxy-URL, das Authentifizierungs-Proxy-URL-Backupund den Authentifizierungsmethodentyp ein (wählen Sie zwischen HTTP BASIC und Exchange ActiveSync).
Authentifizierungsquelle für Intelligent Hub	Wählen Sie das System aus, das vom Intelligent Hub-Dienst als Quelle für Benutzer und Authentifizierungsrichtlinien verwendet wird. * Workspace ONE UEM – Wählen Sie diese Einstellung aus, wenn Sie möchten, dass die Hub-Dienste Workspace ONE UEM als Quelle für Benutzer und Authentifizierungsmethoden verwenden. Sie die Seite Hub-Konfiguration für Hub-Dienste konfigurieren, geben Sie die Mandant-URL für Hub-Dienste an. * Workspace ONE Access – Wählen Sie diese Einstellung aus, wenn Sie möchten, dass die Hub-Dienste Workspace ONE Access als Quelle für Benutzer und Authentifizierungsmethoden verwenden. Sie die Seite Hub-Konfiguration für Hub-Dienste konfigurieren, geben Sie die Workspace ONE Access-Mandant-URL an. Hinweis: Wenn Sie Workspace ONE Access als Authentifizierungsquelle für Intelligent Hub aktivieren und zu Staging-Zwecken eine Befehlszeile zur Registrierung verwenden, wird diese Konfiguration zugunsten der in der Befehlszeile angegebenen Anmeldedaten umgangen. Weitere Informationen zu Workspace ONE Intelligent Hub finden Sie in der Dokumentation zu VMware Workspace ONE Hub-Diensten. Weitere Informationen zu Workspace ONE Access finden Sie in der Dokumentation zu VMware Workspace ONE Access.
Geräteregistrierungsmodus	Wählen Sie unter den folgenden Ihren bevorzugten Geräteregistrierungsmodus: * Offene Registrierung – Im Wesentlichen ermöglicht dies jedem Benutzer die Registrierung, der die anderen Registrierungskriterien erfüllt (Authentifizierungsmodus, Einschränkungen usw.). Workspace ONE Direct Enrollment unterstützt offene Registrierung. * Nur registrierte Geräte – Nur zugelassene Benutzer mit von Ihnen oder den Benutzern registrierten Geräten sind zur Registrierung zugelassen. Bei der Geräteregistrierung werden Unternehmensgeräte zur UEM-Konsole hinzugefügt, bevor diese registriert werden. Workspace ONE Direct Enrollment unterstützt es, nur registrierten Geräten die Registrierung zu erlauben. Dies gilt aber nur, wenn keine Registrierungstoken erforderlich sind.
Eintragungstoken verlangen	Nur sichtbar, wenn Nur registrierte Geräte ausgewählt wurde. Wenn Sie die Anmeldung auf registrierte Geräte beschränken, können Sie zudem festlegen, dass ein Registrierungstoken für die Registrierung erforderlich ist. Dadurch wird die Sicherheit erhöht, da bestätigt wird, dass ein bestimmter Benutzer zur Registrierung autorisiert ist. Sie können eine E-Mail oder SMS mit angehängtem Registrierungstoken an Benutzer mit Workspace ONE UEM-Konten senden.
Intelligent Hub-Registrierung für iOS verlangen	Aktivieren Sie dieses Kontrollkästchen, um festzulegen, dass Nutzer von iOS-Geräten den VMware Workspace ONE Intelligent Hub vor dem Registrieren herunterladen und installieren müssen. Wenn diese Option deaktiviert ist, ist die Web-Registrierung verfügbar.
Intelligent Hub-Registrierung für macOS verlangen	Aktivieren Sie dieses Kontrollkästchen, um festzulegen, dass Nutzer von macOS-Geräten den VMware Workspace ONE Intelligent Hub vor dem Registrieren herunterladen und installieren müssen. Wenn diese Option deaktiviert ist, ist die Web-Registrierung verfügbar.

Wählen Sie Speichern.

Standardmäßige Benutzerauthentifizierung

Die Standardauthentifizierung kann zur Identifizierung von Anwendern in der Workspace ONE UEM-Architektur verwendet werden, bietet jedoch keine Integration für bestehende Unternehmensanwenderkonten.

VORTEILE

Kompatibel mit jeder Bereitstellungsmethode.
Erfordert keine technische Integration.
Erfordert keine Unternehmensinfrastruktur.

NACHTEILE

Inkompatibel mit Auto Discovery.
Anmeldedaten existieren nur in Workspace ONE UEM und stimmen mit vorhandenen Unternehmensanmeldedaten nicht unbedingt überein.
Bietet keine Verbundsicherheit oder Single Sign-On.
Workspace ONE UEM speichert alle Benutzernamen und Kennwörter.
Nicht kompatibel mit Workspace ONE Direct Enrollment.

Dieses Diagramm zeigt ein Gerät, das über das Internet auf die UEM-Konsole zugreift. Der Benutzer der Verwaltungskonsole greift über eine Firewall auf Workspace ONE UEM zu.

Der Konsolenbenutzer meldet sich zur Authentifizierung mit dem lokalen Konto (Standardauthentifizierung) bei Workspace ONE UEM SaaS an.
- Anmeldedaten verschlüsseln während des Transports.
- (Beispiel: Benutzername „[email protected]“, Kennwort „Abcd“).
Der Gerätebenutzer registriert sich mit den Anmeldedaten des lokalen Workspace ONE UEM-Kontos (Standardauthentifizierung).
- Anmeldedaten verschlüsseln während des Transports.
- (Beispiel: Benutzername „jdoe2“, Kennwort „2557“).

Active Directory mit LDAP-Authentifizierung

Die Active Directory mit Lightweight Directory Access Protocol(LDAP)-Authentifizierung wird verwendet, um Benutzer- und Administratorkonten von Workspace ONE UEM in vorhandene Unternehmenskonten zu integrieren.

VORTEILE

Endbenutzer authentifizieren sich nun mit vorhandenen Unternehmensanmeldedaten.
Sie stellt eine sichere Methode zur Integration in LDAP/AD dar.
Sie bietet eine Standardintegrationsmethode.
Kompatibel mit Workspace ONE Direct Enrollment.

NACHTEILE

AD oder ein anderer LDAP-Server erforderlich.

Dieses Diagramm zeigt ein Gerät, das per Internet über eine Firewall auf die UEM-Konsole zugreift. Die UEM-Konsole greift auf Verzeichnisdienste zu.

Das Gerät verbindet sich zur Geräteregistrierung mit Workspace ONE UEM. Der Benutzer gibt den Benutzernamen und das Kennwort des Verzeichnisdiensts ein.
- Benutzername und Kennwort werden bei der Übertragung verschlüsselt.
- Workspace ONE UEM speichert das Kennwort des Benutzer-Verzeichnisdienstes nicht.
Workspace ONE UEM fragt die Verzeichnisdienste per Internet durch ein sicheres LDAP-Protokoll ab und nutzt zur Authentifizierung ein Dienstkonto.
Die Anmeldedaten des Benutzers werden mit dem Verzeichnisdienst des Unternehmens abgeglichen.
Wenn die Anmeldedaten des Benutzers gültig sind, registriert der Workspace ONE UEM-Server das Gerät.