Tipos de autenticación de usuario

Antes de inscribir dispositivos, cada usuario de dispositivo debe tener una cuenta de usuario autenticada reconocida por Workspace ONE UEM. El tipo de autenticación de usuario que elija dependerá de las necesidades de su organización.

Proxy de autenticación

El proxy de autenticación permite integrar los servicios de directorio en la nube o en redes internas protegidas. En este modelo, el servidor de Workspace ONE UEM se comunica con un servidor web accesible al público o con un servidor de Exchange ActiveSync. Este proceso autentica a los usuarios ante el controlador de dominio.

VENTAJAS

Método seguro para la integración de proxy con AD/LDAP en la nube.
Los usuarios finales se autentican con las credenciales corporativas existentes.
El módulo ligero requiere una configuración mínima.

DESVENTAJAS

Requiere un servidor web público o un servidor de Exchange ActiveSync ligado un servidor de AD/LDAP.
Solo es factible para ciertos diseños de arquitectura.
Es una solución menos robusta que VMware Enterprise Systems Connector.
No puede utilizarse para la inscripción directa de Workspace ONE.

Este diagrama muestra un servidor proxy inverso como intermediario entre los servicios de directorio y el modelo de SaaS de Workspace ONE.

El dispositivo se conecta a Workspace ONE UEM para inscribir el dispositivo. El usuario introduce su nombre de usuario y contraseña de los servicios de directorio.
- Nombre de usuario y contraseña cifrados durante el transporte.
- Workspace ONE UEM no almacena la contraseña de los servicios de directorio del usuario.
Workspace ONE UEM retransmite el nombre de usuario y la contraseña a un extremo de proxy de autenticación configurado que requiere autenticación (por ejemplo, autenticación básica).
Las credenciales del usuario se validan con los servicios de directorio corporativos.
Si las credenciales del usuario son válidas, el servidor de Workspace ONE UEM inscribe el dispositivo.

Autenticación de Active Directory con LDAP y VMware Enterprise Systems Connector

La autenticación de Active Directory con LDAP y VMware Enterprise Systems Connector ofrece la misma funcionalidad que la autenticación de AD y LDAP tradicional. Este modelo funciona en toda la nube para las implementaciones de software como servicio (SaaS).

VENTAJAS

Los usuarios finales pueden autenticarse con credenciales corporativas existentes.
No es necesario realizar cambios de firewall, ya que la comunicación se inicia desde VMware Enterprise Systems Connector dentro de su red.
La transmisión de credenciales se cifra de forma segura.
Ofrece una configuración segura para otras infraestructuras, como los servidores de BES, Microsoft ADCS, SCEP y SMTP.
Compatible con la inscripción directa de Workspace ONE™.

DESVENTAJAS

Requiere la instalación de VMware Enterprise Systems Connector detrás del firewall o en un DMZ.
Se requiere una configuración adicional.

Modelo de implementación de SaaS

Este diagrama muestra la instancia de VMware Cloud Connector que presta servicio a Workspace ONE en la nube a través del firewall, mientras que, al mismo tiempo, accede a los recursos de red internos.

Modelo de implementación en la sede

Este diagrama muestra un dispositivo que accede a servicios de dispositivos en una DMZ que recibe servicio a través de un firewall mediante recursos de red internos.

Autenticación SAML 2.0

La autenticación de lenguaje de marcado de aserción de seguridad (SAML) 2.0 ofrece soporte para el inicio de sesión único y la autenticación federada. Workspace ONE UEM nunca recibe credenciales corporativas.

Si una organización tiene un servidor de proveedor de identidad de SAML, utilice la integración con SAML 2.0. Asegúrese de que el proveedor de identidad devuelve el atributo objectGUID como parte de la respuesta SAML.

VENTAJAS

Ofrece capacidades de inicio de sesión único.
Autenticación con las credenciales corporativas existentes.
Workspace ONE UEM nunca recibe credenciales corporativas en texto sin formato.
Compatible con la inscripción directa de Workspace ONE cuando se empareja con un usuario de directorio SAML.
Solo los administradores pueden utilizar entornos de varios dominios.

DESVENTAJAS

Requiere una infraestructura de proveedor de identidad de SAML.
Incompatible con la inscripción directa de Workspace ONE cuando se empareja con un usuario básico de SAML.
La configuración de SAML con Workspace ONE Access como IDP con la función Usuario básico local habilitada no admite la autenticación de usuarios básicos.
1. El dispositivo se conecta a Workspace ONE UEM para la inscripción. El servidor de UEM, a continuación, dirige el dispositivo al proveedor de identidad especificado por el cliente.
2. El dispositivo se conecta de forma segura a través de HTTPS al proveedor de identidad cliente especificado y el usuario introduce sus credenciales.
  - Credenciales cifradas durante el transporte directamente entre el dispositivo y el endpoint de SAML.
3. Las credenciales se validan con los servicios de directorio.
4. El proveedor de identidad devuelve una respuesta SAML firmada con el nombre de usuario autenticado.
5. El dispositivo vuelve a responder al servidor de Workspace ONE UEM y presenta el mensaje SAML firmado. El usuario se autentica. Para obtener más información, consulte Configurar servicios de directorio manualmente y desplácese hasta la sección SAML.
Las aplicaciones SaaS no están disponibles para los administradores de SAML que se autentican mediante Workspace ONE Access.

Funcionalidad de la aplicación SaaS para administradores de SAML

Las aplicaciones SaaS, así como otras funciones y políticas de Workspace ONE Access, no están disponibles si se trata de un administrador de SAML que se autentica mediante Workspace ONE Access. Observará el siguiente mensaje de error cuando se desplace hasta la página de las aplicaciones SaaS.

Compruebe que su cuenta de administrador existe en los sistemas UEM e IDM y que el dominio de Workspace ONE UEM coincide exactamente con el dominio de la misma cuenta en VMware Identity Manager.

Para restaurar la accesibilidad de la aplicación SaaS, debe iniciar sesión en Workspace ONE UEM mediante una autenticación básica y también debe habilitar Workspace ONE Access en el grupo organizativo.

Autenticación basada en tokens

La autenticación basada en tokens es la manera más fácil para que el usuario inscriba el dispositivo. Con esta configuración de inscripción, Workspace ONE UEM genera un token, que se coloca en la dirección URL de inscripción.

Para una autenticación de token único, el usuario accede al enlace desde el dispositivo para completar la inscripción y el servidor de Workspace ONE UEM hace referencia al token proporcionado al usuario.

Para aumentar la seguridad, configure una hora de caducidad (en horas) para cada token. De este modo se minimizará el riesgo de que otro usuario obtenga acceso a cualquier información o funciones disponibles en dicho dispositivo.

También puede decidir implementar una autorización de dos factores para ir un poco más allá en la verificación de identidad de usuario final. Con este ajuste de autenticación, el usuario debe introducir su nombre de usuario y contraseña tras acceder al enlace de la inscripción, que contiene el token de autorización.

VENTAJAS

Requiere poco esfuerzo por parte del usuario final a la hora de inscribir y autenticar el dispositivo.
Protege el uso del token al establecer una hora de caducidad.
El usuario no necesita credenciales para la autenticación de token único.

DESVENTAJAS

Se requiere una integración de protocolo simple de transferencia de correo (SMTP) o de servicio de mensajes cortos (SMS) para enviar tokens al dispositivo.

Este diagrama muestra el usuario administrador que proporciona un token de un solo uso a un usuario de inscripción.

El administrador autoriza el registro de dispositivos de usuario.
Se genera un token de un solo uso, que se envía al usuario desde Workspace ONE UEM.
El usuario recibe el token y accede a la dirección URL de inscripción. Se solicita al usuario que indique el token y, opcionalmente, una autenticación de dos factores.
Proceso de inscripción de dispositivos.
Workspace ONE UEM marca el token como caducado.

Aviso: Las implementaciones SaaS incluyen SMTP.

Cómo habilitar los tipos de seguridad para la inscripción

Una vez que Workspace ONE UEM se integra con un tipo de seguridad de usuario seleccionado y antes de la inscripción, habilite cada modo de autenticación que tenga previsto permitir.

Vaya a Dispositivos > Ajustes de dispositivos > Dispositivos y usuarios > General > Inscripción en la pestaña Autenticación.

Seleccione las casillas de verificación correspondientes para el ajuste Modo de autenticación.

Ajustes	Descripción
Agregar dominio de correo electrónico	Este botón se usa para configurar el servicio de detección automática y registrar los dominios de correo electrónico en su entorno.
Modo(s) de autenticación	Seleccione los tipos de autenticación permitidos: * Básica: se pueden inscribir cuentas de usuario básicas (creadas manualmente en UEM Console). * Directorio: se pueden inscribir las cuentas de usuario de directorio (aquellas que se han importado o permitido mediante la integración del servicio de directorio). La inscripción directa de Workspace ONE es compatible con los usuarios de directorio con o sin SAML. * Proxy de autenticación: permite a los usuarios inscribirse utilizando las cuentas de usuario del proxy de autenticación. Los usuarios se autentican en un extremo web. Introduzca la URL del Proxy de autenticación, Copia de seguridad de la URL del Proxy de autenticación y Tipo de método de autenticación (elija entre HTTP básico y Exchange ActiveSync).
Origen de la autenticación para Intelligent Hub	Seleccione el sistema que el servicio de Intelligent Hub utiliza como origen para los usuarios y las políticas de autenticación. * Workspace ONE UEM: seleccione esta opción si desea que los servicios de Hub utilicen Workspace ONE UEM como el origen de las políticas de usuarios y de autenticación. Cuando configura la página Configuración de Hub para los servicios de Hub, introduce la dirección URL de arrendatario de servicios de Hub. * Workspace ONE Access: seleccione esta opción si desea que los servicios de Hub utilicen Workspace ONE Access como el origen de las políticas de usuarios y de autenticación. Al configurar la página Configuración de Hub para los servicios de Hub, introduzca la URL del tenant de Workspace ONE Access. Aviso: Si habilita Workspace ONE Access como origen de autenticación para Intelligent Hub y utiliza una línea de comandos para la inscripción con fines de inscripción provisional, esta configuración se omite en favor de las credenciales proporcionadas en la línea de comandos. Para obtener más información sobre Workspace ONE Intelligent Hub, consulte la documentación de servicios de Hub de VMware Workspace ONE. Para obtener más información sobre Workspace ONE Access, consulte la documentación de VMware Workspace ONE Access.
Modo de inscripción de dispositivos	Seleccione el modo de inscripción de dispositivos que prefiera: * Inscripción abierta: permite la inscripción de prácticamente cualquier persona que cumpla los demás criterios de inscripción (modo de autenticación, restricciones y demás). La inscripción directa de Workspace ONE es compatible con la inscripción abierta. * Solo dispositivos registrados: solo permite la inscripción de usuarios con dispositivos registrados por ellos o por usted. El registro del dispositivo es el proceso de agregar dispositivos corporativos a la consola de UEM antes de que se inscriban. La inscripción directa de Workspace ONE es compatible únicamente con permitir la inscripción de los dispositivos registrados pero solo si no se necesitan tokens de registro.
Requerir token de registro	Solo es visible si la opción Dispositivos registrados solamente está seleccionada. Si restringe la inscripción únicamente a los dispositivos registrados, también tendrá la opción de requerir un token de registro para la inscripción. Esta opción mejora la seguridad al confirmar que un usuario concreto está autorizado para inscribirse. Puede enviar un correo electrónico o mensaje SMS con el token de inscripción adjunto a usuarios con cuentas de Workspace ONE UEM.
Requerir la inscripción del Intelligent Hub para iOS	Seleccione esta casilla de verificación para exigir que los usuarios de dispositivos iOS descarguen e instalen Workspace ONE Intelligent Hub antes de inscribirse. Si está desactivada, la inscripción en Web está disponible.
Requerir la inscripción de Intelligent Hub para macOS	Seleccione esta casilla de verificación para exigir que los usuarios de dispositivos macOS descarguen e instalen Workspace ONE Intelligent Hub antes de poder inscribirse. Si está desactivada, la inscripción en Web está disponible.

Seleccione Guardar.

Autenticación de usuario básica

Puede utilizar la autenticación básica para identificar a usuarios en la arquitectura de Workspace ONE UEM, pero este método no ofrece integración con las cuentas corporativas de usuarios.

VENTAJAS

Compatible con cualquier método de implementación.
No requiere una integración técnica.
No requiere una infraestructura empresarial.

DESVENTAJAS

Compatible con la detección automática.
Las credenciales existen solamente en Workspace ONE UEM y no coinciden necesariamente con las credenciales corporativas existentes.
Tampoco ofrece seguridad ni inicio de sesión único federados.
Workspace ONE UEM almacena todos los nombres de usuario y las contraseñas,
Incompatible con la inscripción directa de Workspace ONE.

Este diagrama muestra un dispositivo que accede a UEM Console a través de Internet. El usuario de la consola de administración accede a Workspace ONE UEM a través de un firewall.

El usuario de la consola inicia sesión en la solución de software como servicio Workspace ONE UEM utilizando una cuenta local para la autenticación (autenticación básica).
- Las credenciales se cifran durante el transporte.
- (Por ejemplo, nombre de usuario: [email protected], contraseña: Abcd).
El usuario inscribe el dispositivo utilizando las credenciales de su cuenta local de Workspace ONE UEM (autenticación básica).
- Las credenciales se cifran durante el transporte.
- (Por ejemplo, nombre de usuario: juanperez2, contraseña: 2557).

Autenticación de Active Directory con LDAP

La autenticación de Active Directory (AD) con el protocolo ligero de acceso a directorios (LDAP) se utiliza para integrar cuentas de usuarios y administrativas de Workspace ONE UEM con las cuentas corporativas existentes.

VENTAJAS

Ahora, los usuarios finales pueden autenticarse utilizando credenciales corporativas existentes.
Es un método seguro para la integración con LDAP/AD.
Es una práctica de integración estándar.
Compatible con la inscripción directa de Workspace ONE.

DESVENTAJAS

Se requiere AD u otro servidor LDAP.

Este diagrama muestra un dispositivo que accede a UEM Console a través de Internet pasando por un firewall. UEM Console accede a los servicios de directorio.

El dispositivo se conecta a Workspace ONE UEM para inscribir el dispositivo. El usuario introduce su nombre de usuario y contraseña de los servicios de directorio.
- El nombre de usuario y la contraseña se cifran durante el transporte.
- Workspace ONE UEM no almacena la contraseña de los servicios de directorio del usuario.
Workspace ONE UEM realiza consultas a los servicios de directorio del cliente mediante un protocolo LDAP seguro a través de Internet utilizando una cuenta de servicio para la autenticación.
Las credenciales del usuario se validan con el servicio de directorio corporativo.
Si las credenciales del usuario son válidas, el servidor de Workspace ONE UEM inscribe el dispositivo.