VMware Identity Services ist ein neuer Cloud-Dienst für die Integration von VMware-Produkten mit cloudbasierten Identitätsdrittanbietern wie Microsoft Entra ID und Okta für die Benutzerbereitstellung und den Identitätsverbund. Dieses Dokument befasst sich mit VMware Identity Services für VMware Workspace ONE®, das ein zentrales Benutzermanagement für alle Workspace ONE-Dienste bietet.
Zu den wichtigsten Funktionen von VMware Identity Services gehören:
- Benutzerbereitstellung über SCIM 2.0
VMware Identity Services basiert auf dem SCIM-2.0-Protokoll (System for Cross-Domain Identity Management), einem Standard für die Verwaltung von Benutzeridentitäten in cloudbasierten Anwendungen und Diensten. VMware Identity Services unterstützt jeden SCIM 2.0-basierten Cloud-Identitätsanbieter.
- Identitätsverbund mit OpenID Connect oder SAML 2.0
Sie können die Verbundauthentifizierung mit Ihrem externen Identitätsanbieter mithilfe von OpenID Connect oder SAML 2.0 konfigurieren.
- Zentrales Benutzermanagement für alle Workspace ONE-Dienste
Mit VMware Identity Services erstellen Sie ein einzelnes bereitgestelltes Verzeichnis in der Workspace ONE Cloud-Konsole. Benutzer und Gruppen werden von Ihrem Identitätsanbieter für VMware Identity Services bereitgestellt und dann automatisch von VMware Identity Services für die von Ihnen ausgewählten Workspace ONE-Dienste bereitgestellt. VMware Identity Services unterstützt derzeit VMware Workspace ONE® Access™ und VMware Workspace ONE® UEM.
Sie verwalten das Verzeichnis über die Workspace ONE Cloud-Konsole. Die in Workspace ONE Access und Workspace ONE UEM vorgenommenen Einstellungen für Verzeichnis, Benutzer, Benutzergruppen, Benutzerattribute und Identitätsanbieter sind schreibgeschützt.
- Keine Konnektoranforderung
Sie müssen den VMware Workspace ONE Access Connector oder den VMware AirWatch Cloud Connector nicht lokal bereitstellen, um VMware Identity Services in Cloud-Identitätsanbieter zu integrieren.
Sie können VMware Identity Services über die Workspace ONE Cloud-Konsole einrichten und verwalten. In den Konsolen Workspace ONE Access und Workspace ONE UEM ist keine Konfiguration erforderlich.
Unterstützte Identitätsanbieter
VMware Identity Services unterstützt die folgenden cloudbasierten Identitätsanbieter:
- Microsoft Entra ID (ehemals Azure Active Directory oder Azure AD)
- Okta
- Beliebiger generischer SCIM 2.0-Identitätsanbieter
Unterstützte Workspace ONE-Dienste
Sie können VMware Identity Services für die folgenden Workspace ONE-Cloud-Dienste konfigurieren:
- Workspace ONE Access-Cloud-Dienste
- Workspace ONE UEM 2212 oder höher
Wichtige Überlegungen
- VMware Identity Services ist nur für neue Workspace ONE-Mandanten verfügbar.
- VMware Identity Services unterstützt derzeit Workspace ONE Access und Workspace ONE UEM.
- Um Zugriff auf VMware Identity Services zu haben, muss Ihre Berechtigung den Workspace ONE Cloud Admin Hub umfassen, eine webbasierte Verwaltungsplattform, die Workspace ONE-Dienste zur Verwaltung und Bereitstellung des digitalen Arbeitsbereichs verbindet.
- VMware Identity Services zentralisiert die Verzeichnisverwaltung in Workspace ONE Cloud. Nachdem Sie VMware Identity Services aktiviert haben, können Sie Ihr Verzeichnis nur über den Workspace ONE Cloud Admin Hub verwalten. Verzeichnisdienste- und Identitätsanbietereinstellungen in Workspace ONE UEM und Workspace ONE Access sind schreibgeschützt.
- Sie können nur ein einziges Verzeichnis in VMware Identity Services integrieren.
- Sie können nur eine Domäne konfigurieren.
- Sie müssen die Bereitstellung und Authentifizierung mit demselben Identitätsanbieter einrichten. Die Integration mit mehreren Identitätsanbietern wird nicht unterstützt.
- VMware Identity Services unterstützt keine lokalen Administratoren, lokalen Benutzer oder Just-in-Time-Benutzer.
Alle Benutzer im Verzeichnis sind entweder Benutzer, die von Ihrem Identitätsanbieter bereitgestellt werden, oder Workspace ONE-Dienstadministratoren, die von VMware Cloud Services bereitgestellt werden.
- VMware Identity Services unterstützt keine direkte Integration mit Active Directory oder anderen LDAP-Verzeichnissen.
- Sie müssen über ein Administratorkonto im Workspace ONE Cloud-Dienst verfügen, um VMware Identity Services einzurichten.
Nicht unterstützte Workspace ONE-Funktionen
VMware Identity Services unterstützt die folgenden Funktionen in Workspace ONE-Diensten nicht.
Workspace ONE UEM
Wenn VMware Identity Services für einen Mandanten aktiviert ist, werden die folgenden Funktionen nicht unterstützt:
- Direkte Integration in lokale Active Directory
- Auf Benutzernamen und Kennwort basierte Authentifizierungsabläufe
- Check-in und Check-out-Flows (für gemeinsam genutzte Geräte)
- DEP-Flows
- Flow zur Einstellung des Authentifizierungstyps Benutzername/Kennwort
- PPKG-Registrierungs-Flow
- Verzeichnisadministrator-Benutzer
Es sind nur VMware Cloud Services-Administratoren verfügbar.
- Überschreiben der untergeordneten OG, wenn VMware Identity Services für die Top-OGs konfiguriert ist
- Just-in-Time-Benutzer (JIT)
Benutzer können nur aus dem Cloud-Identitätsanbieter hinzugefügt werden.
- Registrierungsabläufe im Zusammenhang mit der lokalen Active Directory-Authentifizierung
Lokale Active Directory ohne Microsoft Entra ID wird nicht unterstützt. Daher werden Flows wie die folgenden nicht unterstützt:
- Dropship Online (Standardbenutzer-Staging-Konto) mit lokaler Active Directory
- Automatische Registrierung (Standardbenutzer-Staging-Konto) mit lokaler Active Directory
- Agent-Registrierung (Verzeichniskonto) mit lokaler Active Directory
Workspace ONE Access
Wenn VMware Identity Services für einen Mandanten aktiviert ist, werden die folgenden Funktionen nicht unterstützt:
- Direkte Integration in lokale Active Directory
- Erstellen von lokalen Benutzern, lokalen Administratoren oder Just-in-Time-Benutzern (JIT)
Alle Benutzer werden entweder von Ihrem Identitätsanbieter von VMware Identity Services oder von VMware Cloud Services bereitgestellt.
- People Search
- Integration in Horizon Cloud
- Integration mit Horizon Enterprise
- Wenn Sie Workspace ONE Access in Office 365 integrieren, können Sie keine Verbundauthentifizierung für den Microsoft Entra ID-Identitätsanbieter verwenden. Nur Workspace ONE Access-spezifische Authentifizierungsmethoden wie RSA SecurID, Hub-MFA, Mobiles SSO und Zertifikatauthentifizierung sind verfügbar. Office 365 Active Flow-Authentifizierung wird derzeit nicht unterstützt.
Hub-Dienste
Wenn VMware Identity Services für einen Mandanten aktiviert ist, werden die folgenden Funktionen nicht unterstützt:
- Konfigurationen der Registerkarte „Personen“
- Onboarding-Konfigurationen für neue Mitarbeiter, einschließlich Onboarding-Vorlagen
- Digital Badge und Return-to-Work-Erfahrung
- Integration mit Horizon Cloud Service in Microsoft Azure mit Universal Broker
Workspace ONE Intelligent Hub
Wenn VMware Identity Services aktiviert ist, stehen die folgenden Funktionen in der VMware Workspace ONE® Intelligent Hub-App oder im Webbrowser nicht zur Verfügung:
- Registerkarte „Personen“
- Digital Badge und Return-to-Work-Erfahrung
- Onboarding neuer Mitarbeiter
- Option „Kennwort ändern“ für Workspace ONE Access-Benutzer (die keine Okta-Benutzer sind)
- Apps und Desktops von Horizon Cloud Service on Microsoft Azure mit Universal Broker
Zugehörige Informationen
Einen Videoüberblick über die Vorteile der Verwendung von VMware Identity Services finden Sie im VMware-Video Introduction to Centralized User Management (Einführung in die zentrale Benutzerverwaltung).