Para poder inscribir los dispositivos, cada usuario de dispositivo deberá tener una cuenta de usuario de autenticación reconocida por Workspace ONE UEM powered by AirWatch. El tipo de autenticación de usuario que elija dependerá de las necesidades de su organización.

Proxy de autenticación

El proxy de autenticación permite integrar los servicios de directorio en la nube o en redes internas protegidas. En este modelo, el servidor de Workspace ONE UEM se comunica con un servidor web accesible al público o con un servidor de Exchange ActiveSync. Este proceso autentica a los usuarios ante el controlador de dominio.

VENTAJAS

  • Ofrece un método seguro para la integración de proxy con AD/LDAP en la nube.
  • Los usuarios finales pueden autenticarse con sus credenciales corporativas existentes.
  • El módulo ligero requiere una configuración mínima.

DESVENTAJAS

  • Requiere un servidor web público o un servidor de Exchange ActiveSync ligado a un servidor de AD/LDAP.
  • Solo es factible para ciertos diseños de arquitectura.
  • Es una solución mucho menos robusta que VMware Enterprise Systems Connector.
  • y no puede utilizarse para la inscripción directa de Workspace ONE.

Este diagrama muestra un servidor proxy inverso como intermediario entre los servicios de directorio y el modelo Workspace ONE SaaS.

  1. El dispositivo se conecta a Workspace ONE UEM para inscribirse. El usuario introduce su nombre de usuario y contraseña de los servicios de directorio.
    • El nombre de usuario y la contraseña se cifran durante el transporte.
    • Workspace ONE UEM no almacena la contraseña de los servicios de directorio del usuario.
  2. Workspace ONE UEM retransmite el nombre de usuario y la contraseña a un extremo de proxy de autenticación configurado que requiere autenticación (por ejemplo, autenticación básica).
  3. Las credenciales del usuario se validan con los servicios de directorio corporativos.
  4. Si las credenciales del usuario son válidas, el servidor de Workspace ONE UEM permitirá al dispositivo completar su inscripción.

Autenticación de Active Directory con LDAP y VMware Enterprise Systems Connector

La autenticación de Active Directory con LDAP y VMware Enterprise Systems Connector ofrece la misma funcionalidad que la autenticación de AD y LDAP tradicional. Este modelo funciona en toda la nube para las implementaciones de software como servicio (SaaS).

VENTAJAS

  • Los usuarios finales pueden autenticarse con credenciales corporativas existentes.
  • No es necesario realizar cambios de firewall, ya que la comunicación se inicia desde VMware Enterprise Systems Connector dentro de su red.
  • La transmisión de credenciales es cifrada y segura.
  • Ofrece una configuración segura para otras infraestructuras, como los servidores de BES, Microsoft ADCS, SCEP y SMTP.
  • Puede utilizarse para la inscripción directa de Workspace ONE ™.

DESVENTAJAS

  • Requiere la instalación de VMware Enterprise Systems Connector detrás del firewall o en un DMZ.
  • Se requiere una configuración adicional.

Modelo de implementación de SaaS

Este diagrama muestra el VMware Cloud Connector que ofrece Workspace ONE en la nube a través del firewall, mientras que, al mismo tiempo, accede a los recursos de red internos.

Modelo de implementación en la sede

Este diagrama muestra un dispositivo que accede a servicios de dispositivos en una DMZ a través de un firewall mediante recursos de red internos.

Autenticación SAML 2.0

La autenticación de lenguaje de marcado de aserción de seguridad (SAML) 2.0 ofrece soporte para el inicio de sesión único y la autenticación federada. Workspace ONE UEM nunca recibe credenciales corporativas.

Si una organización tiene un servidor de proveedor de identidad de SAML, utilice la integración con SAML 2.0. Asegúrese de que el proveedor de identidad devuelve el atributo objectGUID como parte de la respuesta SAML.

VENTAJAS

  • Ofrece capacidades de inicio de sesión único.
  • Autenticación con las credenciales corporativas existentes.
  • Workspace ONE UEM nunca recibe las credenciales corporativas en formato de texto sin formato.
  • Puede utilizarse para la inscripción directa de Workspace ONE cuando se emparejan con un usuario de directorio de SAML.
  • Los entornos de varios dominios solo son compatibles para administradores.

DESVENTAJAS

  • Requiere una infraestructura de proveedor de identidad de SAML.
  • No puede utilizarse para la inscripción directa de Workspace ONE cuando se emparejan con un usuario básico de SAML.

    Este diagrama muestra el servidor SaaS de Workspace ONE que recibe la entrada de un dispositivo a través de Internet y accede al proveedor de identidad SAML a través de un firewall.

    1. El dispositivo se conecta a Workspace ONE UEM para inscribirse. El servidor de UEM, a continuación, dirige el dispositivo al proveedor de identidad especificado por el cliente.
    2. El dispositivo se conecta de forma segura a través de HTTPS al proveedor de identidad cliente especificado y el usuario introduce sus credenciales.
      • Las credenciales se cifran durante el transporte directamente entre el dispositivo y el extremo de SAML.
    3. Las credenciales se validan con los servicios de directorio.
    4. El proveedor de identidad devuelve una respuesta SAML firmada con el nombre de usuario autenticado.
    5. El dispositivo vuelve a responder al servidor de Workspace ONE UEM y presenta el mensaje SAML firmado. Hecho esto, el usuario ya está autenticado.

    Para obtener más información, consulte Configurar servicios de directorio manualmente y desplácese hasta la sección SAML.

  • Las aplicaciones SaaS no están disponibles para los administradores de SAML que se autentican mediante Workspace ONE Access.

Funcionalidad de la aplicación SaaS para administradores de SAML

Las aplicaciones SaaS, así como otras funciones y directivas de Workspace ONE Access, no están disponibles si se trata de un administrador de SAML que se autentica mediante Workspace ONE Access. Observará el siguiente mensaje de error cuando se desplace hasta la página de las aplicaciones SaaS.

Compruebe que su cuenta de administrador existe en los sistemas UEM e IDM y que el dominio de Workspace ONE UEM coincide exactamente con el dominio de la misma cuenta en VMware Identity Manager.

Para restaurar la accesibilidad de la aplicación SaaS, debe iniciar sesión en Workspace ONE UEM mediante una autenticación básica y también debe habilitar Workspace ONE Access en el grupo organizativo.

Autenticación basada en tokens

La autenticación basada en tokens es la manera más fácil para que el usuario inscriba el dispositivo. Con esta configuración de inscripción, Workspace ONE UEM genera un token, que se encuentra en la dirección URL de inscripción.

Para una autenticación de token único, el usuario accede al enlace desde el dispositivo para completar la inscripción y el servidor de Workspace ONE UEM hace referencia al token proporcionado al usuario.

Para aumentar la seguridad, configure una hora de caducidad (en horas) para cada token. De este modo se minimizará el riesgo de que otro usuario obtenga acceso a cualquier información o funciones disponibles en dicho dispositivo.

También puede decidir implementar una autorización de dos factores para ir un poco más allá en la verificación de identidad de usuario final. Con este ajuste de autenticación, el usuario debe introducir su nombre de usuario y contraseña tras acceder al enlace de la inscripción, que contiene el token de autorización.

VENTAJAS

  • Requiere poco esfuerzo por parte del usuario final a la hora de inscribir y autenticar el dispositivo.
  • Protege el uso del token al establecer una hora de caducidad.
  • El usuario no necesita credenciales para la autenticación de token único.

DESVENTAJAS

  • Se requiere una integración de protocolo simple de transferencia de correo (SMTP) o de servicio de mensajes cortos (SMS) para enviar tokens al dispositivo.

Este diagrama muestra el usuario administrador que proporciona un token de un solo uso a un usuario de inscripción.

  1. El administrador autoriza el registro de dispositivos de usuario.
  2. Se genera un token de un solo uso, que se envía al usuario desde Workspace ONE UEM.
  3. El usuario recibe el token y accede a la dirección URL de inscripción. Se solicita al usuario que indique el token y, opcionalmente, una autenticación de dos factores.
  4. Proceso de inscripción de dispositivos.
  5. Workspace ONE UEM marca el token como caducado.
Nota: SMTP está incluido en las implementaciones SaaS.

Cómo habilitar los tipos de seguridad para la inscripción

Cuando Workspace ONE UEM se haya integrado con un tipo de seguridad de usuario seleccionado y antes de la inscripción, habilite cada modo de autenticación que tenga previsto permitir.

  1. Navegue a Dispositivos > Configuraciones de dispositivos > Dispositivos y usuarios > General > Inscripción en la pestaña Autenticación.
  2. Seleccione las casillas de verificación correspondientes para el ajuste Modo de autenticación.
    Ajustes Descripción
    Agregar dominio de correo electrónico Este botón se usa para configurar el servicio de detección automática y registrar los dominios de correo electrónico en su entorno.
    Modos de autenticación

    Seleccione los tipos de autenticación permitidos:

    • Básica: se pueden inscribir cuentas de usuario básicas (creadas manualmente en UEM console).
    • Directorio: se pueden inscribir las cuentas de usuario de directorio (aquellas que se han importado o permitido mediante la integración del servicio de directorio). La inscripción directa de Workspace ONE es compatible con los usuarios de directorio con o sin SAML.
    • Proxy de autenticación: permite a los usuarios inscribirse utilizando las cuentas de usuario de Proxy de autenticación. Los usuarios se autentican en un extremo web.
      • Introduzca la URL del Proxy de autenticación, Copia de seguridad de la URL del Proxy de autenticación y Tipo de método de autenticación (elija entre HTTP básico y Exchange ActiveSync).
    Origen de autenticación para Intelligent Hub

    Seleccione el sistema que el servicio de Intelligent Hub utiliza como origen para los usuarios y las políticas de autenticación.

    • Workspace ONE UEM: seleccione este ajuste si desea que los servicios de Hub utilicen Workspace ONE UEM como el origen de las políticas de usuarios y de autenticación.

      Cuando configura la página Configuración de Hub para los servicios de Hub, introduce la dirección URL de arrendatario de servicios de Hub.

    • Workspace ONE Access: seleccione esta opción si desea que los servicios de Hub utilicen Workspace ONE Access como el origen de las políticas de usuarios y de autenticación.

      Al configurar la página Configuración de Hub para los servicios de Hub, introduzca la URL del tenant de Workspace ONE Access.

    Para obtener más información sobre Workspace ONE Intelligent Hub, consulte la Documentación de los servicios de VMware Workspace ONE Hub.

    Para obtener más información sobre Workspace ONE Access, consulte la Documentación de VMware Workspace ONE Access.

    Modo de inscripción de dispositivos

    Seleccione el modo de inscripción de dispositivos que prefiera:

    • Inscripción abierta: permite la inscripción de prácticamente cualquier persona que cumpla los demás criterios de inscripción (modo de autenticación, restricciones y demás). La inscripción directa de Workspace ONE es compatible con la inscripción abierta.
    • Dispositivos registrados solamente: solo permite la inscripción de usuarios con dispositivos registrados por ellos o por usted. El registro del dispositivo es el proceso de agregar dispositivos corporativos a la consola de UEM antes de que se inscriban. La inscripción directa de Workspace ONE es compatible únicamente con permitir la inscripción de los dispositivos registrados pero solo si no se necesitan tokens de registro.
    Requerir token de registro

    Solo es visible si la opción Dispositivos registrados solamente está seleccionada.

    Si restringe la inscripción únicamente a los dispositivos registrados, también tendrá la opción de requerir un token de registro para la inscripción. Esta opción mejora la seguridad al confirmar que un usuario concreto está autorizado para inscribirse. Puede enviar un correo electrónico o mensaje SMS con el token de inscripción adjunto a usuarios con cuentas de Workspace ONE UEM.

    Requerir la inscripción de Intelligent Hub para iOS Seleccione esta casilla para exigir que los usuarios de dispositivos iOS descarguen e instalen Workspace ONE Intelligent Hub antes de inscribirse. Si está deshabilitada, la inscripción en Web está disponible.
    Requerir la inscripción de Intelligent Hub para macOS Seleccione esta casilla para exigir que los usuarios de dispositivos macOS descarguen e instalen Workspace ONE Intelligent Hub antes de poder inscribirse. Si está deshabilitada, la inscripción en Web está disponible.
  3. Seleccione Guardar.

Autenticación de usuario básica

Puede utilizar la autenticación básica para identificar a usuarios en la arquitectura de Workspace ONE UEM, pero este método no ofrece integración con las cuentas corporativas de usuarios.

VENTAJAS

  • Puede utilizarse con cualquier método de implementación.
  • No requiere una integración técnica.
  • No requiere una infraestructura empresarial.

DESVENTAJAS

  • No puede utilizarse con la detección automática.
  • Las credenciales existen solamente en Workspace ONE UEM y no coinciden necesariamente con las credenciales corporativas existentes.
  • Tampoco ofrece seguridad ni inicio de sesión único federados.
  • Workspace ONE UEM almacena todos los nombres de usuario y contraseñas.
  • y no puede utilizarse para la inscripción directa de Workspace ONE.

  1. El usuario de la consola inicia sesión en Workspace ONE UEM SaaS mediante su cuenta local para autenticarse (autenticación básica).
    • Las credenciales se cifran durante la transferencia.
    • (Por ejemplo, nombre de usuario: juanperez@air-watch.com, contraseña: Abcd).
  2. El usuario del dispositivo lo inscribe utilizando las credenciales de su cuenta local de Workspace ONE UEM (autenticación básica).
    • Las credenciales se cifran durante la transferencia.
    • (Por ejemplo, nombre de usuario: juanperez2, contraseña: 2557).

Autenticación de Active Directory con LDAP

La autenticación de Active Directory (AD) con Lightweight Directory Access Protocol (LDAP) se utiliza para integrar cuentas de usuarios y administrativas de Workspace ONE UEM con las cuentas corporativas existentes.

VENTAJAS

  • Ahora, los usuarios finales pueden autenticarse utilizando credenciales corporativas existentes.
  • Es un método seguro para la integración con LDAP/AD.
  • Es una práctica de integración estándar.
  • Puede utilizarse para la inscripción directa de Workspace ONE.

DESVENTAJAS

  • Requiere un servidor de AD u otro de LDAP.

Este diagrama muestra un dispositivo que accede a la consola de UEM a través de Internet pasando por un firewall. la consola de UEM accede a los servicios de directorio.

  1. El dispositivo se conecta a Workspace ONE UEM para inscribirse. El usuario introduce su nombre de usuario y contraseña de los servicios de directorio.
    • El nombre de usuario y la contraseña se cifran durante el transporte.
    • Workspace ONE UEM no almacena la contraseña de los servicios de directorio del usuario.
  2. Workspace ONE UEM realiza consultas a los servicios de directorio del cliente mediante un protocolo LDAP seguro a través de Internet utilizando una cuenta de servicio para la autenticación.
  3. Las credenciales del usuario se validan respecto al servicio de directorio corporativo.
  4. Si las credenciales del usuario son válidas, el servidor de Workspace ONE UEM permitirá al dispositivo completar su inscripción.