Workspace ONE UEM utiliza grupos de organización (GO) para identificar a los usuarios y establecer permisos. Cuando Workspace ONE UEMse integra con VMware Identity Manager, las claves de REST API de usuario administrador e inscrito se configuran en el tipo de grupo de organización de Workspace ONE UEM llamado cliente.
Cuando los usuarios inician sesión en Workspace ONE desde un dispositivo, se activa un evento de registro de dispositivo en VMware Identity Manager. Se envía una solicitud a Workspace ONE UEM para obtener las aplicaciones para las que tienen autorización la combinación de usuario y dispositivo. La solicitud se envía mediante la REST API para localizar el usuario en Workspace ONE UEM y para colocar el dispositivo en el grupo de organización correspondiente.
Para gestionar los grupos de organización, se pueden configurar dos opciones en VMware Identity Manager.
Habilite la detección automática de Workspace ONE UEM.
Asigne los grupos de organización de Workspace ONE UEM a dominios del servicio de VMware Identity Manager.
Si no se configura ninguna de estas dos opciones, Workspace ONE intentará encontrar el usuario en el grupo de organización donde se creó la clave de REST API. Es decir, en el grupo de clientes.
Usar la detección automática de Workspace ONE UEM
Configure la detección automática cuando se configure un único directorio en un grupo secundario del grupo de organización de clientes, o cuando se configuren varios directorios en el grupo de clientes con dominios de correo electrónico únicos.
En el ejemplo 1, el dominio de correo electrónico de la organización se ha registrado para la detección automática. Los usuarios solo introducen su dirección de correo electrónico en la página de inicio de sesión de Workspace ONE.
En este ejemplo, cuando los usuarios del dominio de Norteamérica inician sesión en Workspace ONE, introducen la dirección de correo completa como [email protected]. La aplicación busca el dominio y comprueba que el usuario existe o se puede crear con una llamada al directorio en el grupo de organización de Norteamérica. Se puede registrar el dispositivo.
Usar la asignación de grupos de organización de Workspace ONE UEM a dominios de VMware Identity Manager
Configure el servicio de VMware Identity Manager para la asignación de grupos de organización de Workspace ONE UEM cuando se configuren varios directorios con el mismo dominio de correo electrónico. Habilite Asignar dominios a varios grupos de organización en la página de configuración de AirWatch en la consola de VMware Identity Manager.
Cuando se habilita la opción Asignar dominios a varios grupos de organización, los dominios configurados en VMware Identity Manager se pueden asignar a los ID de grupo de organización de Workspace ONE UEM. La clave de REST API de administración también es necesaria.
En el ejemplo 2, se han asignado dos dominios a diferentes grupos de organización. Se necesita una clave de REST API de administración. Ambos ID de grupo de organización usan la misma clave de REST API de administración.
En la página de configuración de AirWatch de la consola de VMware Identity Manager, configure un ID de grupo de organización de Workspace ONE UEM específico para cada dominio.
Con esta configuración, cuando los usuarios inicien sesión en Workspace ONE desde su dispositivo, la solicitud de registro del dispositivo intentará buscar los usuarios del Dominio3 en el grupo de organización Europa, y los usuarios del Dominio4 en el grupo de organización Asia-Pacífico.
En el ejemplo 3, se ha asignado un dominio a varios grupos de organización de Workspace ONE UEM. Ambos directorios comparten el dominio de correo electrónico. El dominio apunta al mismo grupo de organización de Workspace ONE UEM.
En esta configuración, cuando los usuarios inicien sesión en Workspace ONE, la aplicación pedirá a los usuarios que seleccionen el grupo en el que deseen registrarse. En este ejemplo, los usuarios pueden seleccionar Ingeniería o Contabilidad.
Colocar dispositivos en el grupo de organización correcto
Cuando un registro de usuario se encuentra correctamente, el dispositivo se agrega al grupo de organización correspondiente. La opción de configuración de inscripción de Workspace ONE UEM Modo de asignación de ID de grupo determina el grupo de organización en el que se colocará el dispositivo. Este ajuste se encuentra en Ajustes del sistema> Dispositivo y usuarios > General > Inscripción > página Agrupación en Workspace ONE UEM Console.
En el ejemplo 4, todos los usuarios se encuentran en el nivel de grupo de organización Empresa.
La colocación de los dispositivos dependerá de la configuración seleccionada para el modo de asignación de ID de grupo en el grupo organizativo Empresa.
Si se selecciona la opción predeterminada, el dispositivo se colocará en el mismo grupo donde esté el usuario. En el ejemplo 4, el dispositivo se coloca en el grupo Empresa.
Si se selecciona Pedir al usuario que seleccione el ID de grupo, los usuarios deberán seleccionar el grupo en el que se registrará el dispositivo. En el ejemplo 4, los usuarios verán un menú desplegable en la aplicación de Workspace ONE con las opciones Ingeniería y Contabilidad.
Si se elige Seleccionar automáticamente en función del grupo de usuarios, los dispositivos se colocarán en Ingeniería o Contabilidad según la asignación del grupo de usuarios y la asignación correspondiente en la consola de Workspace ONE UEM.
Comprender el concepto de un grupo oculto
En el ejemplo 4, cuando se pide a los usuarios que seleccionen el grupo de organización en el que se registrarán, los usuarios también pueden especificar un valor de ID de grupo que no esté en la lista que se muestra en la aplicación de Workspace ONE. Este es el concepto de un grupo oculto.
En el ejemplo 5, en la estructura de grupo de organización Empresa, Norteamérica y Beta se han configurado como grupos en Empresa.
En el ejemplo 5, los usuarios introducen su dirección de correo electrónico en Workspace ONE. Después de la autenticación, los usuarios ven una lista que muestra las opciones Ingeniería y Contabilidad para elegirlas. Beta no es una de las opciones que se muestran. Si los usuarios conocen el ID de grupo de organización, pueden escribir Beta en el cuadro de texto de la selección de grupo y registrar correctamente el dispositivo en Beta.