Este tema incluye las preguntas frecuentes sobre federación empresarial de dominios corporativos con VMware Cloud services.

P: ¿Puedo seguir accediendo a my.vmware.com con mi cuenta de identificador de VMware (My VMware) después de configurar la federación empresarial para mi dominio corporativo?

R: Sí. Si sus dominios están federados, podrá acceder a VMware Cloud services solo con su cuenta corporativa, pero podrá seguir accediendo a my.vmware.com con su cuenta de My VMware.

P: ¿Todavía tengo que crear una cuenta con VMware si mi cuenta corporativa está federada?

R: Como usuario de una cuenta federada, debe crear una cuenta de My VMware solo si desea presentar un ticket de soporte o realizar operaciones relacionadas con la facturación y la suscripción.

P: ¿Puedo seguir usando mi cuenta de identificador de VMware para iniciar sesión en el portal de VMware Cloud Services después de configurar la federación para mi empresa?

R: No. Después de configurar la federación empresarial con el proveedor de identidad corporativo, tendrá que utilizar las credenciales corporativas para todos los inicios de sesión posteriores en VMware Cloud services.

P: ¿Vincular mi cuenta de identificador de VMware a mi cuenta corporativa provoca cambios en mi cuenta corporativa?

R: Su cuenta corporativa no cambia como resultado de vincularla a su cuenta de My VMware. La vinculación crea una asignación interna que no cambia ningún atributo de la cuenta corporativa.

P: ¿Se puede aplicar la autenticación multifactor (Multi-factor Authentication, MFA) para acceder a VMware Cloud Services después de configurar la federación empresarial?

R: Depende de la configuración corporativa. Si el proveedor de identidad que utiliza su empresa está configurado para aplicar la autenticación multifactor, la respuesta es sí. Se le solicitará la autenticación multifactor para acceder a VMware Cloud services al iniciar sesión.

P: ¿Está vinculada la federación empresarial a una organización o un servicio en particular de VMware Cloud Services?

R: No. La federación empresarial se encuentra en todo el dominio. Cualquier usuario con dominios registrados y verificados puede acceder a cualquier organización de VMware Cloud services y a los servicios a los que se suscribió.

Además, si se suscribe a servicios de nube adicionales de VMware, continuará accediendo a los nuevos servicios con sus credenciales corporativas.

P: ¿Puedo deshacer la federación empresarial después de habilitarla?

R: Sí. Para deshacer la configuración de federación de los dominios, presente un ticket de soporte en la Cloud Services Console. Si el soporte de VMware revierte la configuración de la federación empresarial, se podrían perder todas las autorizaciones, los usuarios y los grupos que se agregaron después de la configuración de la federación.

P: ¿Por qué no puedo ver los servicios de mi organización después de iniciar sesión con mi cuenta corporativa?

Antes de configurar la federación empresarial para su empresa, utilizó su cuenta de My VMware para autenticarse en VMware Cloud services. Una vez habilitada la federación, utilice la cuenta corporativa para iniciar sesión en VMware Cloud services y autenticarse directamente en el proveedor de identidad corporativo. Para acceder a los servicios que utilizó anteriormente mediante el inicio de sesión con su cuenta de My VMware, debe vincular la cuenta corporativa a su identificador de VMware. Solo cuando las dos cuentas están vinculadas, podrá ver y acceder a los servicios en función del acceso a la función de servicio y organización que tenga en la organización.

P: ¿Por qué se ven dos cuentas en la pestaña Identidad y acceso después de habilitar la federación empresarial?

Inicialmente, accedió a VMware Cloud services con su cuenta de My VMware. Supongamos que usó joe@acme.com para crear una cuenta de My VMware e inició sesión en VMware Cloud services con esa cuenta. Después de la federación, accedió a VMware Cloud services con su cuenta federada y vinculó su cuenta de identificador de My VMware. La cuenta joe@acme.com inicial aparece atenuada y marcada con una etiqueta "identificador de VMware" para indicar la cuenta My VMware que ya no utiliza, pero sigue estando visible como una "cuenta de sombra".

Las cuentas de sombra no se pueden modificar para las asignaciones de funciones de organización o servicio. Se recomienda mantener estas entradas durante al menos unos meses después de habilitar la configuración de la federación por si después decide deshacer la configuración de la federación empresarial.

P: ¿Qué tipo de proveedores de identidad de terceros se admiten?

R: Cualquier proveedor de identidad externo compatible con SAML 2.0 es compatible con la federación empresarial con VMware Cloud services.

P: No tengo un proveedor de identidad externo compatible con SAML 2.0 y quiero autenticarme directamente en mi Active Directory (AD) corporativo. ¿Puedo hacerlo?

Sí. Puede utilizar los métodos de autenticación incorporados del conector local de Workspace ONE Access para autenticar a los usuarios directamente en su AD corporativo.

P: ¿Puedo utilizar una máquina virtual de Windows creada con tecnología de VMware para instalar el conector local de Workspace ONE Access?

R: Sí. Puede usar la tecnología de VMware para crear una máquina virtual de Windows que se pueda utilizar para instalar el conector de Windows de Workspace ONE Access.

P: ¿Workspace ONE Access Connector tiene que instalarse de forma local?

R: El conector de Windows de Workspace ONE Access es un componente local que se suele instalar en una zona verde o en la intranet de una empresa. Sin embargo, los clientes pueden instalar el conector en una nube, siempre que pueda comunicarse con el Active Directory empresarial a través del protocolo LDAP/LDAPS en los puertos 389 y 636.

Mi empresa ya tiene un tenant de Workspace ONE Access configurado como parte de otros productos comprados a través de VMware. ¿Puedo utilizar la instancia del tenant existente en lugar de crear una nueva para la configuración de federación de autoservicio?

No, no puede usar ninguno de los tenants de Workspace ONE Access (anteriormente VMware Identity Manager) existentes que tenga. Se creará un nuevo tenant de Workspace ONE Access como parte de la configuración de la federación de autoservicio. Se utilizará exclusivamente para VMware Cloud Services. No se requiere ningún coste ni licencia para utilizar el nuevo tenant de Workspace ONE Access para acceder a VMware Cloud Services.

Lo mismo sucede con el uso de un Workspace ONE Access Connector existente. La configuración de la federación requiere uno nuevo.

Mi empresa ya tiene un conector local de Workspace ONE Access. ¿Puedo utilizar el conector existente en lugar de crear uno nuevo para la configuración de federación de autoservicio?

No. La configuración de federación de autoservicio requiere que su empresa instale y configure un conector dedicado de Workspace ONE Access que se usará solo para la federación con VMware Cloud Services.

Lo mismo sucede con el uso de un tenant de Workspace ONE Access existente. La configuración de la federación requiere uno nuevo.

P: ¿Tengo que abrir algún puerto del firewall para que Workspace ONE Access Connector establezca la confianza con la instancia de servicio de Workspace ONE Access?

R: Workspace ONE Access Connector se comunica a través del canal HTTPS/443 saliente con la instancia de servicio de Workspace ONE Access, que actúa como agente de identidades. Si el firewall bloquea el acceso a dominios externos, se tiene que conceder acceso a algunos dominios de VMware.

P: ¿Qué datos sincroniza el conector local de Workspace ONE Access?

R: El conector local de Workspace ONE Access se utiliza para la sincronización de usuarios y grupos en la instancia de servicio de Workspace ONE Access (agente de identidad) con el proveedor de identidad del cliente. Solo se sincronizan los nombres distintivos de usuarios y grupos configurados durante la configuración de autoservicio, no el AD completo. Solo se sincroniza un conjunto de atributos obligatorios: nombre, apellido, correo electrónico, nombre de usuario y dominio. Si su empresa utiliza el nombre principal de usuario (UPN) para autenticar a los usuarios, este atributo también debe tener un valor para la sincronización.
Importante: Las contraseñas de los usuarios nunca se sincronizan.

P: ¿En qué regiones se aloja la instancia de servicio de Workspace ONE Access (agente de identidad)?

R: La instancia de servicio de Workspace ONE Access se aloja en AWS en la región de EE. UU.

P: ¿Puedo hacer que los usuarios de diferentes dominios que poseo (como acme.com, ext.acme.com, company.com) se autentiquen en mi proveedor de identidad?

R: Sí. Si puede verificar todos los dominios públicos que posee, los usuarios de estos dominios pueden autenticarse en VMware Cloud services con sus credenciales corporativas. En primer lugar, los usuarios de todos estos dominios tienen que sincronizarse en la instancia de servicio de Workspace ONE Access (agente de identidad).

P: ¿Puedo agregar servicios a la organización de la federación empresarial?

R: No. No puede ni debe agregar servicios a la organización de la federación empresarial. Puede acceder a la organización de la federación empresarial con el único fin de realizar operaciones que afectan a todos los servicios y organizaciones de un dominio determinado.

¿Hay una cuenta de emergencia que pueda usar para acceder a VMware Cloud Services si no puedo iniciar sesión con mis credenciales corporativas?

Puede agregar una cuenta de My VMware a la organización con un dominio que no esté federado. Por ejemplo, si el dominio acme.com está federado, se puede utilizar cualquier cuenta de My VMware con un dominio que no sea acme.com para iniciar sesión en VMware Cloud services. El usuario con la cuenta de My VMware debe agregarse en la organización como propietario de la organización o miembro de la organización.

¿Los atributos sincronizados desde mi Active Directory corporativo se cifran cuando tienen persistencia en la instancia de servicio de Workspace ONE Access y VMware Cloud Services en AWS?

No. Los atributos de usuario de nombre, apellidos, correo electrónico, nombre de usuario, dominio y UPN no se cifran cuando tienen persistencia de VMware Cloud services en AWS.

Si el servidor del conector está fuera de servicio, ¿Cómo afectaría a los usuarios que acceden a Cloud Services Console? ¿Puedo configurar el conector en el modo de alta disponibilidad?

Si su empresa utiliza la autenticación del proveedor de identidad de terceros y no los métodos de autenticación basados en conectores, toda la autenticación del usuario se produce directamente en el proveedor de identidad. En este caso, si el conector está fuera de servicio, el inicio de sesión no se verá afectado para los usuarios que ya estén sincronizados. Como el conector solo se utiliza para la sincronización de usuarios y grupos, es posible que no se necesite el conector en modo de alta disponibilidad.