AirWatch verwendet Organisationsgruppen (OG) zur Identifizierung von Benutzern und zur Einrichtung von Berechtigungen. Wenn AirWatch in VMware Identity Manager integriert ist, werden die REST-API-Schlüssel für die Registrierung von Administrator- und Registrierungsbenutzern in der AirWatch-Organisationgruppe namens „Kunde“ konfiguriert.
Wenn Benutzer sich bei Workspace ONE von einem Gerät anmelden, wird ein Geräteregistrierungsereignis in VMware Identity Manager ausgelöst. Dabei wird eine Anforderung an AirWatch gesendet, um alle Anwendungen abzurufen, für die die Kombination von Benutzer und Gerät über eine Berechtigung verfügt. Die Anforderung wird mithilfe der REST-API gesendet, um den Benutzer innerhalb von AirWatch zu ermitteln und das Gerät in der entsprechenden Organisationsgruppe zu platzieren.
Für die Konfiguration der Verwaltung von Organisationsgruppen stehen in VMware Identity Manager zwei Möglichkeiten zur Verfügung.
Aktivieren der automatischen Ermittlung in AirWatch.
Zuordnen von AirWatch-Organisationsgruppen zu Domänen im VMware Identity Manager-Dienst.
Wenn keine der beiden Optionen konfiguriert ist, versucht Workspace ONE den Benutzer in der Organisationsgruppe zu ermitteln, in der der REST-API-Schlüssel erstellt wurde. Das ist die Kundengruppe.
Verwenden der automatischen Ermittlung in AirWatch
Richten Sie die automatische Ermittlung ein, wenn ein einzelnes Verzeichnis bei einer untergeordneten Gruppe für die Kundenorganisationsgruppe konfiguriert ist oder wenn mehrere Verzeichnisse unterhalb der Kundengruppe mit eindeutigen E-Mail-Domänen konfiguriert sind.
Im Beispiel 1 wird die E-Mail-Domäne der Organisation für die automatische Ermittlung registriert. Benutzer geben nur ihre E-Mail-Adresse auf der Workspace ONE-Anmeldeseite ein.
In diesem Beispiel geben Benutzer der Domäne „Nordamerika“ die vollständige Mail-Adresse als [email protected] ein, wenn sie sich bei Workspace ONE anmelden. Die Anwendung sucht nach der Domäne und überprüft, ob der Benutzer vorhanden ist oder mit einem Verzeichnisaufruf in der Organisationsgruppe „Nordamerika“ erstellt werden kann. Das Gerät kann registriert werden.
Verwenden der Zuordnung von AirWatch-Organisationsgruppen zu VMware Identity Manager-Domänen
Konfigurieren Sie VMware Identity Manager für die Zuordnung von AirWatch-Organisationsgruppen, wenn mehrere Verzeichnisse mit derselben E-Mail-Domäne konfiguriert sind. Sie aktivieren dazu Domänen mehreren Organisationsgruppen zuordnen auf der AirWatch-Konfigurationsseite in der VMware Identity Manager-Verwaltungskonsole.
Wenn die Option „Domänen mehreren Organisationsgruppen zuordnen“ aktiviert ist, können den AirWatch-Organisationsgruppen-IDs in VMware Identity Manager konfigurierte Domänen zugeordnet werden. Der Admin-REST-API-Schlüssel ist ebenfalls erforderlich.
Im Beispiel 2 werden zwei Domänen verschiedenen Organisationsgruppen zugeordnet. Dabei ist ein Admin-REST-API-Schlüssel erforderlich. Der gleiche Admin-REST-API-Schlüssel wird für beide Organisationsgruppen-IDs verwendet.
Konfigurieren Sie auf der AirWatch-Konfigurationsseite in der VMware Identity Manager-Verwaltungskonsole eine spezielle AirWatch-Organisationsgruppen-ID für jede Domäne.
Bei dieser Konfiguration versucht die Anforderung der Geräteregistrierung, Benutzer aus der „Domäne3“ in der Organisationsgruppe „Europa“ und Benutzer aus der „Domäne4“ in Organisationsgruppe „Asien/Pazifik“ zu ermitteln, wenn sich Benutzer von ihrem Gerät bei Workspace ONE anmelden.
Im Beispiel 3 wird eine Domäne mehreren AirWatch-Organisationsgruppen zugeordnet. Beide Verzeichnisse nutzen gemeinsam die E-Mail-Domäne. Die Domäne verweist auf dieselbe AirWatch-Organisationsgruppe.
Bei dieser Konfiguration werden Benutzer, wenn sie sich bei Workspace ONE anmelden, zur Auswahl der Gruppe aufgefordert, bei der sie sich registrieren möchten. In diesem Beispiel können Benutzer zwischen den Gruppen „Technik“ und „Buchhaltung“ auswählen.
Platzieren von Geräten in der richtigen Organisationsgruppe
Wenn ein Benutzerdatensatz ermittelt wurde, wird das Gerät der entsprechenden Organisationsgruppe hinzugefügt. Die AirWatch-Registrierungseinstellung Gruppen-ID-Zuweisungsmodus bestimmt die Organisationsgruppe, in der das Gerät platziert wird. Diese Einstellung wird auf der Seite „Systemeinstellungen“ > „Gerät und Benutzer“ > „Allgemein“ > „Registrierung“ > „Gruppierung“ festgelegt.
Im Beispiel 4 befinden sich alle Benutzer auf der Ebene der Organisationsgruppe „Unternehmen“.
Die Geräteplatzierung hängt von der ausgewählten Konfiguration des Modus der Gruppen-ID-Zuweisung für die Organisationsgruppe „Unternehmen“ ab.
Wenn „Standard“ ausgewählt ist, wird das Gerät in der Gruppe des Benutzers platziert. In Beispiel 4 wird das Gerät in der Gruppe „Unternehmen“ platziert.
Wenn die Option „Benutzer auffordern, Gruppen-ID auszuwählen“ ausgewählt ist, werden die Benutzer aufgefordert, die Gruppe auszuwählen, für die ihr Gerät registriert werden soll. In Beispiel 4 wird in der Workspace ONE-App ein Dropdown-Menü mit „Technik“ und „Buchhaltung“ als Optionen angezeigt.
Wenn die Option „Automatisch auf der Basis der Benutzergruppe auswählen“ aktiviert ist, werden die Geräte je nach ihrer zugewiesenen Benutzergruppe und der entsprechenden Zuordnung in der AirWatch-Verwaltungskonsole entweder in „Technik“ oder „Buchhaltung“ platziert.
Verstehen des Konzepts der verborgenen Gruppe
In Beispiel 4 können Benutzer, wenn sie zur Auswahl der Organisationsgruppe aufgefordert werden, für die die Registrierung durchgeführt werden soll, auch eine Gruppen-ID eingeben, die nicht in der Liste der Workspace ONE-App enthalten ist. Dies wird als „Konzept der verborgenen Gruppe“ bezeichnet.
In Beispiel 5 sind in der Struktur der Organisationsgruppe „Unternehmen“ die Gruppen „Nordamerika“ und „Beta“ unterhalb von „Unternehmen“ konfiguriert.
In Beispiel 5 geben Benutzer ihre E-Mail-Adresse in Workspace ONE ein. Nach der Authentifizierung wird eine Liste mit „Technik“ und „Buchhaltung“ angezeigt, aus der Benutzer auswählen können. Die Option „Beta“ ist darin nicht enthalten. Wenn Benutzer die Organisationsgruppen-ID kennen, können sie „Beta“ manuell in das Textfeld für die Gruppenauswahl eingeben und so ihr Gerät erfolgreich für „Beta“ registrieren.