VMware Identity Services es un nuevo servicio en la nube que permite integrar productos de VMware con proveedores de identidades de terceros basados en la nube (como Microsoft Entra ID y Okta) para el aprovisionamiento de usuarios y la federación de identidades. En este documento se describe VMware Identity Services for VMware Workspace ONE®, que ofrece funciones de administración centralizada de usuarios en los servicios de Workspace ONE.
Entre las funciones clave de VMware Identity Services se incluyen las siguientes:
- Aprovisionamiento de usuarios de SCIM 2.0
VMware Identity Services se basa en el protocolo System for Cross-Domain Identity Management (SCIM) 2.0, un estándar para administrar identidades de usuarios en aplicaciones y servicios basados en la nube. VMware Identity Services es compatible con todos los proveedores de identidades de nube basados en SCIM 2.0.
- Federación de identidades mediante OpenID Connect o SAML 2.0
Puede configurar la autenticación federada con el proveedor de identidades externo mediante OpenID Connect o SAML 2.0.
- Administración centralizada de usuarios en los servicios de Workspace ONE
Con VMware Identity Services, puede crear un único directorio aprovisionado en la consola de Workspace ONE Cloud. Los usuarios y los grupos se aprovisionan desde el proveedor de identidad a VMware Identity Services y, a continuación, se aprovisionan automáticamente desde VMware Identity Services a los servicios de Workspace ONE que seleccione. Actualmente, VMware Identity Services admite VMware Workspace ONE® Access™ y VMware Workspace ONE® UEM.
El directorio se administra desde la consola de Workspace ONE Cloud. La configuración del directorio, los usuarios, los grupos de usuarios, los atributos de usuario y el proveedor de identidad en Workspace ONE Access y Workspace ONE UEM es de solo lectura.
- No se requiere conector
No es necesario implementar VMware Workspace ONE Access Connector ni VMware AirWatch Cloud Connector de forma local para integrar VMware Identity Services con los proveedores de identidades de nube.
VMware Identity Services se configura y administra a través de la consola de Workspace ONE Cloud. No se requiere ninguna configuración en las consolas de Workspace ONE Access y Workspace ONE UEM.
Proveedores de identidades compatibles
VMware Identity Services admite los siguientes proveedores de identidades basados en la nube:
- Microsoft Entra ID (anteriormente conocido como Azure Active Directory o Azure AD)
- Okta
- Cualquier origen de identidad SCIM 2.0 genérico
Servicios de Workspace ONE compatibles
Puede configurar VMware Identity Services para los siguientes servicios en la nube de Workspace ONE:
- Servicio de Workspace ONE Access en la nube
- Workspace ONE UEM 2212 o versiones posteriores
Consideraciones clave
- VMware Identity Services solo está disponible para los nuevos arrendatarios de Workspace ONE.
- Actualmente, VMware Identity Services admite Workspace ONE Access y Workspace ONE UEM.
- Para tener acceso a VMware Identity Services, su autorización debe incluir Workspace ONE Cloud Admin Hub, una plataforma administrativa basada en web que conecta los servicios de Workspace ONE para administrar y distribuir el espacio de trabajo digital.
- VMware Identity Services centraliza la administración de directorios en Workspace ONE Cloud. Después de habilitar VMware Identity Services, solo podrá administrar el directorio desde Workspace ONE Cloud Admin Hub. La configuración del proveedor de identidad y los servicios de directorio en Workspace ONE UEM y Workspace ONE Access pasa a ser de solo lectura.
- Solo se puede integrar un único directorio con VMware Identity Services.
- Solo puede configurar un dominio.
- Debe configurar el aprovisionamiento y la autenticación con el mismo proveedor de identidad. No se admite la integración con varios proveedores de identidad.
- VMware Identity Services no admite administradores locales, usuarios locales ni usuarios de Just-in-Time.
Todos los usuarios del directorio son usuarios aprovisionados desde el proveedor de identidad, o bien administradores de servicios de Workspace ONE aprovisionados desde VMware Cloud Services.
- VMware Identity Services no admite la integración directa con Active Directory ni con otros directorios LDAP.
- Debe tener una cuenta de administrador en el servicio de Workspace ONE Cloud para configurar VMware Identity Services.
Funciones de Workspace ONE no compatibles
VMware Identity Services no admite las siguientes funciones de los servicios de Workspace ONE:
Workspace ONE UEM
Cuando se habilita VMware Identity Services para un arrendatario, no se admiten las siguientes funciones:
- Integración directa con Active Directory local
- Flujos de autenticación basada en nombre de usuario y contraseña
- Flujos de inserción y extracción (para dispositivos compartidos)
- Flujos DEP
- Flujo de configuración del tipo de autenticación de nombre de usuario/contraseña
- Flujo de inscripción de PPKG
- Usuarios administradores del directorio.
Solo estarán disponibles los usuarios administradores de VMware Cloud Services.
- Sustitución de GO secundarios si se configuró VMware Identity Services para los GO principales.
- Usuarios de Just-in-Time (JIT).
Los usuarios solo se pueden agregar desde el proveedor de identidad de nube.
- Flujos de inscripción relacionados con la autenticación de Active Directory local
No se admite Active Directory local sin Microsoft Entra ID. Por lo tanto, no se admiten flujos como los siguientes:
- Dropship Online (cuenta provisional para usuarios básicos) con Active Directory local
- Inscripción silenciosa (cuenta provisional de usuario básico) con Active Directory local
- Inscripción de agente (cuenta de directorio) con Active Directory local
Workspace ONE Access
Cuando se habilita VMware Identity Services para un arrendatario, no se admiten las siguientes funciones:
- Integración directa con Active Directory local
- Creación de usuarios locales, administradores locales o usuarios de Just-in-Time (JIT).
Todos los usuarios se aprovisionan desde el proveedor de identidad mediante VMware Identity Services, o bien se trata de administradores aprovisionados desde VMware Cloud Services.
- People Search.
- Integración con Horizon Cloud.
- Integración con Horizon Enterprise.
- Si integra Workspace ONE Access con Office 365, no podrá utilizar la autenticación federada con el proveedor de identidad de Microsoft Entra ID. Solo estarán disponibles métodos de autenticación específicos de Workspace ONE Access, como RSA SecurID, MFA de Hub, SSO móvil y autenticación de certificados. Actualmente no se admite la autenticación de flujo activo de Office 365.
Servicios de Hub
Cuando se habilita VMware Identity Services para un arrendatario, no se admiten las siguientes funciones:
- Configuraciones de la pestaña Personas.
- Configuraciones de incorporación de nueva contratación, incluidas las plantillas de incorporación.
- La experiencia Digital Badge y Volver al trabajo.
- Integración con Horizon Cloud Service on Microsoft Azure con Universal Broker
Workspace ONE Intelligent Hub
Si se habilita VMware Identity Services, las siguientes funciones no estarán disponibles para los usuarios en la aplicación VMware Workspace ONE® Intelligent Hub o el navegador web:
- Pestaña de personas.
- La experiencia Digital Badge y Volver al trabajo.
- Incorporación de nueva contratación.
- Opción de cambio de contraseña para usuarios de Workspace ONE Access (que no sean usuarios de Okta).
- Aplicaciones y escritorios de Horizon Cloud Service on Microsoft Azure con Universal Broker
Información relacionada
Para obtener un resumen en vídeo de las ventajas de usar VMware Identity Services, vea el vídeo de VMware Introducción a la administración centralizada de usuarios.