Workspace ONE UEM utiliza grupos de organización (GO) para identificar a los usuarios y establecer permisos. Cuando Workspace ONE UEMse integra con Workspace ONE Access, las claves de REST API de usuario administrador e inscrito se configuran en el tipo de grupo de organización de Workspace ONE UEM llamado cliente.

Cuando los usuarios inician sesión en la aplicación Intelligent Hub desde un dispositivo, se activa un evento de registro del dispositivo en Workspace ONE Access. Se envía una solicitud a Workspace ONE UEM para obtener las aplicaciones para las que tienen autorización la combinación de usuario y dispositivo. La solicitud se envía mediante la REST API para localizar el usuario en Workspace ONE UEM y para colocar el dispositivo en el grupo de organización correspondiente.

Para gestionar los grupos de organización, se pueden configurar dos opciones en Workspace ONE Access.

  • Habilite la detección automática de Workspace ONE UEM.
  • Asigne los grupos de organización de Workspace ONE UEM a dominios del servicio de Workspace ONE Access.

Si no se configura ninguna de estas dos opciones, Intelligent Hub intentará encontrar el usuario en el grupo de organización donde se creó la clave de REST API. Es decir, en el grupo de clientes.

Usar la detección automática de Workspace ONE UEM

Configure la detección automática cuando se configure un único directorio en un grupo secundario del grupo de organización de clientes, o cuando se configuren varios directorios en el grupo de clientes con dominios de correo electrónico únicos. Consulte Registro de dominios de correo electrónico para detección automática.

Figura 1. Ejemplo 1

En el ejemplo 1, el dominio de correo electrónico de la organización se ha registrado para la detección automática. Los usuarios solo introducen su dirección de correo electrónico en la página de inicio de sesión de Intelligent Hub.

En este ejemplo, cuando los usuarios del dominio de Norteamérica inician sesión en la aplicación Intelligent Hub, introducen la dirección de correo completa como usuario1@dominio1.com. La aplicación busca el dominio y comprueba que el usuario existe o se puede crear con una llamada al directorio en el grupo de organización de Norteamérica. Se puede registrar el dispositivo.

Usar la asignación de grupos de organización de Workspace ONE UEM a dominios de Workspace ONE Access

Configure el servicio Workspace ONE Access para la asignación de grupos de organización de Workspace ONE UEM cuando se configuren varios directorios con el mismo dominio de correo electrónico. Habilite Asignar dominios a varios grupos de organización en la página de configuración de AirWatch en la consola de Workspace ONE Access.

Cuando se habilita la opción Asignar dominios a varios grupos de organización, los dominios configurados en Workspace ONE Access se pueden asignar a los ID de grupo de organización de Workspace ONE UEM. La clave de REST API de administración también es necesaria.

En el ejemplo 2, se han asignado dos dominios a diferentes grupos de organización. Se necesita una clave de REST API de administración. Ambos ID de grupo de organización usan la misma clave de REST API de administración.

Figura 2. Ejemplo 2

En la página de configuración de AirWatch de la consola de Workspace ONE Access, configure un ID de grupo de organización de Workspace ONE UEM específico para cada dominio.

Figura 3. Configuración del grupo de organización del ejemplo 2

Con esta configuración, cuando los usuarios inicien sesión en la aplicación Intelligent Hub desde su dispositivo, la solicitud de registro del dispositivo intentará buscar los usuarios del Dominio3 en el grupo de organización Europa, y los usuarios del Dominio4 en el grupo de organización Asia-Pacífico.

En el ejemplo 3, se ha asignado un dominio a varios grupos de organización de Workspace ONE UEM. Ambos directorios comparten el dominio de correo electrónico. El dominio apunta al mismo grupo de organización de Workspace ONE UEM.

Figura 4. Ejemplo 3

En esta configuración, cuando los usuarios inicien sesión en la aplicación Intelligent Hub, la aplicación pedirá a los usuarios que seleccionen el grupo en el que deseen registrarse. En este ejemplo, los usuarios pueden seleccionar Ingeniería o Contabilidad.

Figura 5. Grupos de organización donde los directorios comparten el mismo dominio

Colocar dispositivos en el grupo de organización correcto

Cuando un registro de usuario se encuentra correctamente, el dispositivo se agrega al grupo de organización correspondiente. La opción de configuración de inscripción de Workspace ONE UEM Modo de asignación de ID de grupo determina el grupo de organización en el que se colocará el dispositivo. Este ajuste se encuentra en Ajustes del sistema> Dispositivo y usuarios > General > Inscripción > página Agrupación en Workspace ONE UEM Console.

Figura 6. Inscripción en grupos de Workspace ONE UEM para dispositivos

En el ejemplo 4, todos los usuarios se encuentran en el nivel de grupo de organización Empresa.

Figura 7. Ejemplo 4

La colocación de los dispositivos dependerá de la configuración seleccionada para el modo de asignación de ID de grupo en el grupo organizativo Empresa.

  • Si se selecciona la opción predeterminada, el dispositivo se colocará en el mismo grupo donde esté el usuario. En el ejemplo 4, el dispositivo se coloca en el grupo Empresa.
  • Si se selecciona Pedir al usuario que seleccione el ID de grupo, los usuarios deberán seleccionar el grupo en el que se registrará el dispositivo. En el ejemplo 4, los usuarios verán un menú desplegable en la aplicación Intelligent Hub con las opciones Ingeniería y Contabilidad.
  • Si se elige Seleccionar automáticamente en función del grupo de usuarios, los dispositivos se colocarán en Ingeniería o Contabilidad según la asignación del grupo de usuarios y la asignación correspondiente en Workspace ONE UEM Console.

Comprender el concepto de un grupo oculto

En el ejemplo 4, cuando se pide a los usuarios que seleccionen el grupo de organización en el que se registrarán, los usuarios también pueden especificar un valor de ID de grupo que no esté en la lista que se muestra en la aplicación Intelligent Hub. Este es el concepto de un grupo oculto.

En el ejemplo 5, en la estructura de grupo de organización Empresa, Norteamérica y Beta se han configurado como grupos en Empresa.

Figura 8. Ejemplo 5

En el ejemplo 5, los usuarios introducen su dirección de correo electrónico en la aplicación Intelligent Hub. Después de la autenticación, los usuarios ven una lista que muestra las opciones Ingeniería y Contabilidad para seleccionarlas. Beta no es una de las opciones que se muestran. Si los usuarios conocen el ID de grupo de organización, pueden escribir Beta en el cuadro de texto de la selección de grupo y registrar correctamente el dispositivo en Beta.