Konfigurieren der Benutzerbereitstellung und des Identitätsverbunds mit VMware Identity Services

VMware Identity Services ist ein neuer Cloud-Dienst für die Integration von VMware-Produkten mit cloudbasierten Identitätsdrittanbietern wie Microsoft Entra ID und Okta für die Benutzerbereitstellung und den Identitätsverbund. Dieses Dokument befasst sich mit VMware Identity Services für VMware Workspace ONE^®, das ein zentrales Benutzermanagement für alle Workspace ONE-Dienste bietet.

Zu den wichtigsten Funktionen von VMware Identity Services gehören:

Benutzerbereitstellung über SCIM 2.0
VMware Identity Services basiert auf dem SCIM-2.0-Protokoll (System for Cross-Domain Identity Management), einem Standard für die Verwaltung von Benutzeridentitäten in cloudbasierten Anwendungen und Diensten. VMware Identity Services unterstützt jeden SCIM 2.0-basierten Cloud-Identitätsanbieter.
Identitätsverbund mit OpenID Connect oder SAML 2.0
Sie können die Verbundauthentifizierung mit Ihrem externen Identitätsanbieter mithilfe von OpenID Connect oder SAML 2.0 konfigurieren.
Zentrales Benutzermanagement für alle Workspace ONE-Dienste
Mit VMware Identity Services erstellen Sie ein einzelnes bereitgestelltes Verzeichnis in der Workspace ONE Cloud-Konsole. Benutzer und Gruppen werden von Ihrem Identitätsanbieter für VMware Identity Services bereitgestellt und dann automatisch von VMware Identity Services für die von Ihnen ausgewählten Workspace ONE-Dienste bereitgestellt. VMware Identity Services unterstützt derzeit VMware Workspace ONE^® Access™ und VMware Workspace ONE^® UEM.
Sie verwalten das Verzeichnis über die Workspace ONE Cloud-Konsole. Die in Workspace ONE Access und Workspace ONE UEM vorgenommenen Einstellungen für Verzeichnis, Benutzer, Benutzergruppen, Benutzerattribute und Identitätsanbieter sind schreibgeschützt.
Keine Konnektoranforderung
Sie müssen den VMware Workspace ONE Access Connector oder den VMware AirWatch Cloud Connector nicht lokal bereitstellen, um VMware Identity Services in Cloud-Identitätsanbieter zu integrieren.

Sie können VMware Identity Services über die Workspace ONE Cloud-Konsole einrichten und verwalten. In den Konsolen Workspace ONE Access und Workspace ONE UEM ist keine Konfiguration erforderlich.

Hinweis: VMware Identity Services ist zurzeit für VMware Managed Services Provider-Kunden nicht verfügbar.

Unterstützte Identitätsanbieter

VMware Identity Services unterstützt die folgenden cloudbasierten Identitätsanbieter:

Microsoft Entra ID (ehemals Azure Active Directory oder Azure AD)
Okta
Beliebiger generischer SCIM 2.0-Identitätsanbieter

Wichtig: Die direkte Integration in Active Directory wird nicht unterstützt.

Unterstützte Workspace ONE-Dienste

Sie können VMware Identity Services für die folgenden Workspace ONE-Cloud-Dienste konfigurieren:

Workspace ONE Access-Cloud-Dienste
Workspace ONE UEM 2212 oder höher

Wichtig: VMware Identity Services wird nur für neue Workspace ONE-Mandanten unterstützt.

Wichtige Überlegungen

VMware Identity Services ist nur für neue Workspace ONE-Mandanten verfügbar.
VMware Identity Services unterstützt derzeit Workspace ONE Access und Workspace ONE UEM.
Um Zugriff auf VMware Identity Services zu haben, muss Ihre Berechtigung den Workspace ONE Cloud Admin Hub umfassen, eine webbasierte Verwaltungsplattform, die Workspace ONE-Dienste zur Verwaltung und Bereitstellung des digitalen Arbeitsbereichs verbindet.
VMware Identity Services zentralisiert die Verzeichnisverwaltung in Workspace ONE Cloud. Nachdem Sie VMware Identity Services aktiviert haben, können Sie Ihr Verzeichnis nur über den Workspace ONE Cloud Admin Hub verwalten. Verzeichnisdienste- und Identitätsanbietereinstellungen in Workspace ONE UEM und Workspace ONE Access sind schreibgeschützt.
Sie können nur ein einziges Verzeichnis in VMware Identity Services integrieren.
Sie können nur eine Domäne konfigurieren.
Sie müssen die Bereitstellung und Authentifizierung mit demselben Identitätsanbieter einrichten. Die Integration mit mehreren Identitätsanbietern wird nicht unterstützt.
VMware Identity Services unterstützt keine lokalen Administratoren, lokalen Benutzer oder Just-in-Time-Benutzer.
Alle Benutzer im Verzeichnis sind entweder Benutzer, die von Ihrem Identitätsanbieter bereitgestellt werden, oder Workspace ONE-Dienstadministratoren, die von VMware Cloud Services bereitgestellt werden.
VMware Identity Services unterstützt keine direkte Integration mit Active Directory oder anderen LDAP-Verzeichnissen.
Sie müssen über ein Administratorkonto im Workspace ONE Cloud-Dienst verfügen, um VMware Identity Services einzurichten.

Hinweis: Wenn Sie einen Dienst wie Workspace ONE Access oder Workspace ONE UEM für die Verwendung mit VMware Identity Services auswählen und Ihre Auswahl speichern, können Sie die Auswahl nicht aufheben und müssen sich an VMware Support wenden, um Änderungen vorzunehmen.

Nicht unterstützte Workspace ONE-Funktionen

VMware Identity Services unterstützt die folgenden Funktionen in Workspace ONE-Diensten nicht.

Workspace ONE UEM

Wenn VMware Identity Services für einen Mandanten aktiviert ist, werden die folgenden Funktionen nicht unterstützt:

Direkte Integration in lokale Active Directory
Auf Benutzernamen und Kennwort basierte Authentifizierungsabläufe
- Check-in und Check-out-Flows (für gemeinsam genutzte Geräte)
- DEP-Flows
- Flow zur Einstellung des Authentifizierungstyps Benutzername/Kennwort
- PPKG-Registrierungs-Flow
Verzeichnisadministrator-Benutzer
Es sind nur VMware Cloud Services-Administratoren verfügbar.
Überschreiben der untergeordneten OG, wenn VMware Identity Services für die Top-OGs konfiguriert ist
Just-in-Time-Benutzer (JIT)
Benutzer können nur aus dem Cloud-Identitätsanbieter hinzugefügt werden.
Registrierungsabläufe im Zusammenhang mit der lokalen Active Directory-Authentifizierung
Lokale Active Directory ohne Microsoft Entra ID wird nicht unterstützt. Daher werden Flows wie die folgenden nicht unterstützt:
- Dropship Online (Standardbenutzer-Staging-Konto) mit lokaler Active Directory
- Automatische Registrierung (Standardbenutzer-Staging-Konto) mit lokaler Active Directory
- Agent-Registrierung (Verzeichniskonto) mit lokaler Active Directory

Workspace ONE Access

Wenn VMware Identity Services für einen Mandanten aktiviert ist, werden die folgenden Funktionen nicht unterstützt:

Direkte Integration in lokale Active Directory
Erstellen von lokalen Benutzern, lokalen Administratoren oder Just-in-Time-Benutzern (JIT)
Alle Benutzer werden entweder von Ihrem Identitätsanbieter von VMware Identity Services oder von VMware Cloud Services bereitgestellt.
People Search
Integration in Horizon Cloud
Integration mit Horizon Enterprise
Wenn Sie Workspace ONE Access in Office 365 integrieren, können Sie keine Verbundauthentifizierung für den Microsoft Entra ID-Identitätsanbieter verwenden. Nur Workspace ONE Access-spezifische Authentifizierungsmethoden wie RSA SecurID, Hub-MFA, Mobiles SSO und Zertifikatauthentifizierung sind verfügbar. Office 365 Active Flow-Authentifizierung wird derzeit nicht unterstützt.

Hub-Dienste

Wenn VMware Identity Services für einen Mandanten aktiviert ist, werden die folgenden Funktionen nicht unterstützt:

Konfigurationen der Registerkarte „Personen“
Onboarding-Konfigurationen für neue Mitarbeiter, einschließlich Onboarding-Vorlagen
Digital Badge und Return-to-Work-Erfahrung
Integration mit Horizon Cloud Service in Microsoft Azure mit Universal Broker

Workspace ONE Intelligent Hub

Wenn VMware Identity Services aktiviert ist, stehen die folgenden Funktionen in der VMware Workspace ONE^® Intelligent Hub-App oder im Webbrowser nicht zur Verfügung:

Registerkarte „Personen“
Digital Badge und Return-to-Work-Erfahrung
Onboarding neuer Mitarbeiter
Option „Kennwort ändern“ für Workspace ONE Access-Benutzer (die keine Okta-Benutzer sind)
Apps und Desktops von Horizon Cloud Service on Microsoft Azure mit Universal Broker

Zugehörige Informationen

Einen Videoüberblick über die Vorteile der Verwendung von VMware Identity Services finden Sie im VMware-Video Introduction to Centralized User Management (Einführung in die zentrale Benutzerverwaltung).