Workspace ONE UEM utiliza grupos de organización (GO) para identificar a los usuarios y establecer permisos. Cuando Workspace ONE UEMse integra con Workspace ONE Access, las claves de REST API de usuario administrador e inscrito se configuran en el tipo de grupo de organización de Workspace ONE UEM llamado cliente.

Cuando los usuarios inician sesión en la aplicación Workspace ONE Intelligent Hub desde un dispositivo, se activa un evento de registro de dispositivo en Workspace ONE Access. Se envía una solicitud a Workspace ONE UEM para obtener las aplicaciones para las que tienen autorización la combinación de usuario y dispositivo. La solicitud se envía mediante la REST API para localizar el usuario en Workspace ONE UEM y para colocar el dispositivo en el grupo de organización correspondiente.

Para administrar grupos organizativos en Workspace ONE Access, asigne grupos de organización de Workspace ONE UEM a dominios del servicio Workspace ONE Access.

Si los grupos de organización de Workspace ONE UEM no están asignados a dominios en el servicio Workspace ONE Access, la aplicación Workspace ONE Intelligent Hub intenta localizar al usuario en el grupo organizativo donde se ha creado la clave de REST API. Ese grupo es el grupo Clientes.

Usar la detección automática de Workspace ONE UEM

Asegúrese de que la detección automática esta configurada en Workspace ONE UEM Console. Configure la detección automática cuando se configure un único directorio en un grupo secundario del grupo de organización de clientes, o cuando se configuren varios directorios en el grupo de clientes con dominios de correo electrónico únicos.

Figura 1. Ejemplo 1
Captura de pantalla que muestra un único directorio configurado en el grupo secundario

En el ejemplo 1, el dominio de correo electrónico de la organización se ha registrado para la detección automática. Los usuarios solo introducen su dirección de correo electrónico en la página de inicio de sesión de Workspace ONE Intelligent Hub.

En este ejemplo, cuando los usuarios del dominio de Norteamérica inician sesión en la aplicación Workspace ONE Intelligent Hub, introducen la dirección de correo completa como usuario1@dominio1.com. La aplicación busca el dominio y comprueba que el usuario existe o se puede crear con una llamada al directorio en el grupo de organización de Norteamérica. Se puede registrar el dispositivo.

Usar la asignación de grupos de organización de Workspace ONE UEM a dominios de Workspace ONE Access

Configure el servicio Workspace ONE Access para la asignación de grupos de organización de Workspace ONE UEM cuando se configuren varios directorios con el mismo dominio de correo electrónico. Habilite Asignar dominios a varios grupos de organización en la página Integraciones > Integración de UEM de la consola de Workspace ONE Access.

Cuando se habilita la opción Asignar dominios a varios grupos de organización, los dominios configurados en Workspace ONE Access se pueden asignar a los ID de grupo de organización de Workspace ONE UEM. La clave de REST API de administración también es necesaria.

En el ejemplo 2, se han asignado dos dominios a diferentes grupos de organización. Se necesita una clave de REST API de administración. Ambos ID de grupo de organización usan la misma clave de REST API de administración.

Figura 2. Ejemplo 2
Captura de pantalla que muestra dos dominios asignados a grupos organizativos distintos con una misma clave de REST API de administrador

En la página de configuración Integración de UEM de la consola de Workspace ONE Access, configure un ID de grupo de organización de Workspace ONE UEM específico para cada dominio.

Figura 3. Configuración del grupo de organización del ejemplo 2
Captura de pantalla que muestra dos dominios asignados a grupos organizativos distintos con una clave de REST API de administrador distinta

Con esta configuración, cuando los usuarios inicien sesión en la aplicación Workspace ONE Intelligent Hub desde su dispositivo, la solicitud de registro del dispositivo intentará buscar los usuarios del Dominio3 en el grupo de organización Europa, y los usuarios del Dominio4 en el grupo de organización Asia-Pacífico.

En el ejemplo 3, se ha asignado un dominio a varios grupos de organización de Workspace ONE UEM. Ambos directorios comparten el dominio de correo electrónico. El dominio apunta al mismo grupo de organización de Workspace ONE UEM.

Figura 4. Ejemplo 3
Captura de pantalla que muestra un dominio asignado a varios grupos organizativos donde varios directorios comparten el dominio

En esta configuración, cuando los usuarios inicien sesión en la aplicación Workspace ONE Intelligent Hub, la aplicación pedirá a los usuarios que seleccionen el grupo en el que desean registrarse. En este ejemplo, los usuarios pueden seleccionar Ingeniería o Contabilidad.

Figura 5. Grupos de organización donde los directorios comparten el mismo dominio
Captura de pantalla del cuadro de diálogo Asignar dominios donde los directorios comparten un dominio

Colocar dispositivos en el grupo de organización correcto

Cuando un registro de usuario se encuentra correctamente, el dispositivo se agrega al grupo de organización correspondiente. La opción de configuración de inscripción de Workspace ONE UEM Modo de asignación de ID de grupo determina el grupo de organización en el que se colocará el dispositivo. Este ajuste se encuentra en Ajustes del sistema> Dispositivo y usuarios > General > Inscripción > página Agrupación en Workspace ONE UEM Console.

Figura 6. Inscripción en grupos de Workspace ONE UEM para dispositivos
Captura de pantalla de la pestaña Agrupación en la página Inscripción

En el ejemplo 4, todos los usuarios se encuentran en el nivel de grupo de organización Empresa.

Figura 7. Ejemplo 4
Captura de pantalla de la pestaña Agrupación en la página Inscripción

La colocación de los dispositivos dependerá de la configuración seleccionada para el modo de asignación de ID de grupo en el grupo organizativo Empresa.

  • Si se selecciona la opción predeterminada, el dispositivo se colocará en el mismo grupo donde esté el usuario. En el ejemplo 4, el dispositivo se coloca en el grupo Empresa.
  • Si se selecciona Pedir al usuario que seleccione el ID de grupo, los usuarios deberán seleccionar el grupo en el que se registrará el dispositivo. En el ejemplo 4, los usuarios verán un menú desplegable en la aplicación de Workspace ONE Intelligent Hub con las opciones Ingeniería y Contabilidad.
  • Si se elige Seleccionar automáticamente en función del grupo de usuarios, los dispositivos se colocarán en Ingeniería o Contabilidad según la asignación del grupo de usuarios y la asignación correspondiente en Workspace ONE UEM Console.

Comprender el concepto de un grupo oculto

En el ejemplo 4, cuando se pide a los usuarios que seleccionen el grupo de organización en el que se registrarán, los usuarios también pueden especificar un valor de ID de grupo que no esté en la lista que se muestra en la aplicación de Workspace ONE Intelligent Hub. Este es el concepto de un grupo oculto.

En el ejemplo 5, en la estructura de grupo de organización Empresa, Norteamérica y Beta se han configurado como grupos en Empresa.

Figura 8. Ejemplo 5
Captura de pantalla que muestra los grupos configurados en la estructura del grupo organizativo Empresa

En el ejemplo 5, los usuarios introducen su dirección de correo electrónico en la aplicación Workspace ONE Intelligent Hub. Después de la autenticación, los usuarios ven una lista que muestra las opciones Ingeniería y Contabilidad para seleccionarlas. Beta no es una de las opciones que se muestran. Si los usuarios conocen el ID de grupo de organización, pueden escribir Beta en el cuadro de texto de la selección de grupo y registrar correctamente el dispositivo en Beta.